Video: ¡Eviten los fraudes en mensajes SMS! (Noviembre 2024)
Probablemente haya encontrado uno de los esquemas de autenticación del sitio web que funcionan enviando un código único a su teléfono inteligente y haciéndolo ingresar en línea. Los números de autenticación de transacciones móviles (mTAN) utilizados por muchos bancos son un ejemplo. Google Authenticator le permite proteger su cuenta de Gmail de la misma manera, y otros servicios, como LastPass, por ejemplo, también lo admiten. Desafortunadamente, los malos ya saben cómo subvertir este tipo de autenticación. La autenticación por SMS de TextKey es un nuevo enfoque, uno que protege cada etapa del proceso de autenticación.
Voltealo
La autenticación por SMS de estilo antiguo envía ese código único al número de teléfono móvil registrado del usuario. No hay forma de asegurarse de que el código no fue capturado por malware o interceptado usando un clon del teléfono. A continuación, el usuario escribe el código en el navegador. Si la PC está infectada, la transacción puede verse comprometida. De hecho, una variante de Zeus llamada zitmo (para "Zeus en el móvil") realiza un ataque de equipo de etiqueta, con un componente en la PC y otro en el móvil cooperando para robar sus credenciales y su dinero.
TextKey invierte todo el proceso. No te envía ningún mensaje de texto. En su lugar, muestra un PIN después de ingresar su nombre de usuario y contraseña y le pide que envíe un mensaje de texto con un código breve especificado. Los operadores de telefonía celular trabajan muy duro para asegurarse de que un número de teléfono coincida exactamente con un dispositivo, por lo que si el servidor TextKey recibe el mensaje, significa que el operador ya ha validado el número de teléfono y el UDID del teléfono. ¡Allí, TextKey obtiene dos factores de autenticación adicionales gratis!
El PIN es diferente cada vez, y solo es válido por un par de minutos. El código corto también varía. Y un sitio web que utiliza TextKey para la autenticación opcionalmente puede requerir que cada usuario cree un PIN personal que debe agregarse al principio o al final del PIN único.
¿Qué sucede si un compañero de trabajo navega por la pantalla con el PIN y el código corto, o un programa malicioso informa su actividad de mensajes de texto a su propietario? Si el sistema TextKey recibe el PIN correcto del número de teléfono incorrecto, no solo rechaza la autenticación. También registra el número de teléfono como un fraude, por lo que el propietario del sitio puede tomar las medidas adecuadas.
Haga clic en este enlace para probar TextKey. Para fines de demostración, ingresará su número de teléfono; En una situación del mundo real, el número sería parte de su perfil de usuario. Tenga en cuenta que puede activar la alerta de fraude ingresando un número diferente al suyo.
Cómo lo conseguiste
Por desgracia, TextKey no es algo que pueda implementar como consumidor. Solo puede usarlo si el banco u otro sitio seguro lo ha implementado. Las pequeñas empresas pueden contratar la autenticación TextKey por seguridad como servicio, pagando desde $ 5 hasta $ 0.50 por usuario por mes, dependiendo de la cantidad de usuarios. Esa es una tarifa mensual fija, para cualquier número de inicios de sesión. Las operaciones a gran escala que alojan sus propios servidores TextKey pagan una tarifa de instalación y una tarifa mensual.
Este esquema puede no ser 100 por ciento indescifrable, pero es mucho más difícil que la autenticación de SMS de la vieja escuela. Va mucho más allá de los dos factores; TextPower lo llama "Omni-Factor". Debe conocer la contraseña, poseer el teléfono con el UDID correcto, ingresar el PIN que se muestra, opcionalmente agregar su PIN personal, enviar el texto desde su número de teléfono registrado y usar el código corto aleatorio como destino. Frente a esto, el pirata informático promedio probablemente se escabullerá y romperá algunos mTAN bancarios.
