Caso. Cómo se vulnera el Banco “X” a un Ataque de Ingeniería Social.

Escrito por MaTTica el marzo 17, 2011

Hoy tocaremos un caso que nos parece interesante en MaTTica. Les comentaré cómo bajo nuestra percepción Banco “X” pone en riesgo su integridad y daremos algunos tips para evitar este tipo de vulnerabilidades. Aclaramos que este es un caso ficticio y desde luego no nuestra intención promover la ingeniería social o actividades que pudieran considerarse poco éticas o ilegales y por ello no daremos información que pudiera ayudar a vulnerar sistemas.

Caminamos esta mañana a una sucursal de Banco X. La operación sería en extremo sencilla. Preguntar a un asesor el saldo de una cuenta de cheques. Antes de nosotros estaba otro cliente cuya petición requería que el ejecutivo se comunicara por teléfono a alguna oficina central.

Brevemente llevó su mano al pecho, toma su token que genera challenges por tiempo y se identificó por teléfono con su número de empleado. Después dictó el número que aparecía en su dispositivo de RSA y entonces ya pudo dar hacer todo lo necesario para atender al cliente con apoyo vía telefónica de alguno de sus compañeros.

Terminando de atender a su cliente siguió con nosotros. Mi compañero no dejaba de teclear y trabajar en su smartphone. Al empezar a atendernos pidió mi identificación oficial y empezó la operación de consulta de saldos. Nuevamente se lleva la mano al pecho, introduce su challenge dinámico en la computadora junto con lo que supuse habría sido su número de empleado y una contraseña. Acto seguido accedió a mis datos y me dio el saldo.

Nos retiramos del banco. Una visita rutinaria había terminado.

La diferencia es que mi compañero me mostró que lejos de haber estado tecleando un mail o Twitt en su smartphone lo que había hecho es grabar el teclado y pantalla del ejecutivo bancario durante toda nuestra visita. El video mostraba clarmente el URL vigente, se veía claramente el número de empleado que tecleó y los teclazos que dio para ingresar su contraseña. Finalmente apareció en el video el token con el challenge y luego todo el flujo de usuario en el sistema del banco.

Me resultó en extremo interesante cómo con un smartphone, y quizá no un video grabado, pero sí un stream podría ayudar a un tercero externo en una ubicación distinta vulnerar el sistema del Banco X y acceder ilegalmente a él y operar cuentas, traspasos y demás. ¿Qué se necesita? Alguien con un smartphone con streaming en el banco y el externo en otra ubicación recibiendo el stream.

El Hacking por ingeniería social puede ser muy sencillo, un mail de phishing, o un ataque más elaborado como el que podría perpetrarse contra Banco X. Hoy la tecnología permite a los delincuentes ser cada vez más creativos. Nuestra capacidad de prevención reacción debe ser mayor.

No pretendemos que se caiga en la paranoia de poner jaulas de Faraday en cada sucursal bancaria. Es irreal y hasta podría considerarse ilegal. El tema es tomar ciertos temas en consideración para prevenir este tipo de ataques. Aquí unas sugerencias:

    • El error de capa 8 es muy común. Es decir, el usuario. Es un hecho que la seguridad de un sistema es equivalente a la de su eslabón más débil. Hay que educar y concientizar al usuario sobre seguridad informática. Con descuidos hay consecuencias y responsabilidad. Esto lo debe entender el recurso humano.
    • Los sistemas de seguridad son eso y deben protegerse como tal. Colgar un token con challenges dinámicos en el cuello junto con el gafete de identificación del empleado que seguramente tendrá su número es una vulneración enorme para ingeniería social por teléfono o sistemas como planteado aquí. Esta información es vulnerable a cámaras ocultas y debe protegerse mejor.
    • Bancos e instituciones que manejen dinero, información financiera o sensible deben instalar filtros en las pantallas de sus computadoras que no permitan ver a más de cierto ángulo la información que en ellas aparece.
    • Obligar al cambio periódico de contraseñas e integrar sistemas de autenticación de usuario con doble challenge o challenges de dos vías. Usar tokens que requieran una autenticación y no sólo desplegar códigos dinámicamente.

      Pues es nuestro caso de estudio. Si tienes alguna sugerencia de más medidas de seguridad que pudieron haberse tomado por Banco X, por favor coméntalas aquí.

      Fuente: http://www.mattica.com

      Anuncios

      Responder

      Introduce tus datos o haz clic en un icono para iniciar sesión:

      Logo de WordPress.com

      Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

      Imagen de Twitter

      Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

      Foto de Facebook

      Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

      Google+ photo

      Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

      Conectando a %s

      A %d blogueros les gusta esto: