Lunes 15 de Agosto de 2022Actualizado 22:34

El 7 de enero de 2020

Tiempo de lectura: 03:48
|||

Código contra el fraude bancario

Juan Carlos Montejo

Uno de los objetivos principales de los ciberdelincuentes es acceder a los datos de los servicios de Banca electrónica de los usuarios de internet para poder robarles el dinero.

Desde hace varios años se están dando muchos casos de este tipo de robos.

Desde los primeros módulos dañinos que grababan alrededor del cursor (para ver lo que se elegía o tecleaba, algunos lo siguen haciendo), pasando por las típicas campañas de phishing, con robos de contraseñas y funciones de backdoor, siempre aderezadas con ingeniería social y terminando con ataques distribuidos de denegación de servicio, que son capaces de dejar sin servicio a entidades financieras.

Fuente: SeguridadyFirewall

Un organismo dependiente de la Universidad de Cambridge, Cronto, ha desarrollado un nuevo método de protección contra los ataques conocidos como “man-in-the-browser”. Cabe recordar que este tipo malware se centra en atacar a los usuarios de la banca online.

Este tipo de malware es utilizado por los cibercriminales para infiltrarse en el ordenador de un usuario haciéndose pasar por software legítimo. Una vez instalado, el troyano detecta el momento en el que el usuario está llevando a cabo una transacción online bancaria y, antes de realizar la transacción, es capaz de desviar fondos a otra cuenta sin que sea detectado de manera inmediata ni por el banco ni por el usuario.

Fuente: Blog Ehcgroup

Lo que han hecho es crear una capa adicional de seguridad, utilizando, dependiendo del objetivo, un método u otro de comprobación.

Configuración y utilización

La primera operación que hay que hacer es configurar los elementos de seguridad de la cuenta bancaria: Todas las entidades financieras están insistiendo a sus clientes que se aseguren que los datos de correo electrónico y número de teléfono incluidos en sus bases de datos son correctos, estos son esenciales para comprobar la seguridad de las transacciones.

Una vez que hemos comprobado correctamente estos datos, podemos comenzar a utilizar la Banca online.

Cronto permite que se pueda utilizar un dispositivo propio que implementa estos mecanismos de seguridad o también se puede utilizar nuestro teléfono móvil (tipo Smartphone obviamente).

Para que una entidad financiera pueda implementar estos servicios es preciso que suministre a sus clientes (previo pago, estamos hablando de Bancos…) un dispositivo comprado a Cronto o también elaborar una app móvil (como el Commerzbank o el Deutsche Bank) que permite utilizar sus servicios.

Hay 2 momentos en la utilización de la Banca online que es preciso utilizar esta seguridad reforzada:

Autenticación. Cuando nos estamos identificando en los servicios de Banca electrónica.

Firma. Cuando queremos realizar una operación de transferencia de fondos o de cambio de algún parámetro crítico (como el número de teléfono o el correo electrónico).

En el caso de la autenticación el método que se ha elegido por defecto es el envío de un mensaje push al teléfono móvil del cliente.

Debajo vemos un ejemplo de este tipo de mensajes.

Cuando hayamos introducido el usuario y la contraseña (esto, en principio, sigue igual) el servicio nos envía un mensaje como este al teléfono móvil que nos pregunta si somos nosotros quien intentamos autenticarnos en el servicio, debemos pulsar en SÍ si es así, NO en caso contrario.

Esto también sirve si alguien ha conseguido nuestro usuario/contraseña del servicio e intenta entrar: entonces nos aparecería en el móvil este mensaje indicando que alguien (que no somos nosotros) intenta identificarse en el servicio, debemos pulsar NO y cambiar la contraseña ipso facto.

Cuando el servicio nos pide firmar una transacción, los pasos que hay que seguir son los siguientes:

Primero nos aparece en la transacción una imagen con puntos de distintos colores.

Debemos escanearla con nuestro teléfono móvil (o el dispositivo suministrado por el Banco) a través de la aplicación PhotonTAN del Banco.

Una vez escaneada la imagen, la aplicación la descifra y nos presenta los datos de la cuenta y además un código numérico que debemos incluir en la transacción.

De esta forma ya hemos ‘firmado’ dicha transacción con un método mucho más seguro que el típico de enviar un SMS al móvil.

Los métodos de autenticación disponibles a través de los servicios de Cronto son:

  • Contraseñas de un solo uso (OTP)
  • Geolocalización
  • Mensajes SMS y push
  • Dispositivos FIDO UAF
  • Huellas dactilares
  • Reconocimiento facial
  • Biometría conductual

Fuente: Dianabaca

Por desgracia los Bancos españoles aún no han implementado este sistema, sí lo han hecho los bancos alemanes y suizos, paradigmas de la seguridad en general y bancaria en particular, sobre todo los suizos, aunque a veces alguien les roba los secretos mejor guardados.

Referencias

https://www.welivesecurity.com/la-es/2019/11/21/mispadu-troyano-bancario-distribuido-anuncios-mcdonalds-facebook/

https://es.wikipedia.org/wiki/Puerta_trasera

https://es.wikipedia.org/wiki/Ingeniería_social_(seguridad_informática)

https://www.onespan.com/products/transaction-signing/cronto

https://blogs.ua.es/si/2011/01/21/man-in-the-browser-mitb-un-ataque-especialmente-peligroso/

https://play.google.com/store/apps/details?id=com.commerzbank.photoTAN

https://play.google.com/store/apps/details?id=com.db.pbc.phototan.db

https://play.google.com/store/apps/details?id=com.cronto.crontosign.swiss

https://www.xlsemanal.com/conocer/20131229/bunker-suizo-bytes-aqui-6746.html

https://www.abc.es/economia/abci-herve-falciani-informatico-puso-jaque-banca-suiza-201804042011_noticia.html

https://www.tendencias21.net/Nuevo-codigo-de-barras-2D-combate-el-fraude-bancario-online_a17399.html

https://www.corporates.commerzbank.com/portal/media/corporatebanking/neu-hauptportal-rebrush/phototan/2019_09_04_phototan_aktivierung_en.pdf

https://doubleoctopus.com/security-wiki/threats-and-tools/man-in-the-browser-attack/

 

|||


0 comentarios
Juan Carlos Montejo
Burgalés de nacimiento, mantiene la página www.seguridadeninternet.net y el blog asociado a ella. Licenciado en Informática por la Universidad de Deusto y máster universitario en Seguridad Informática por la UNIR, ha realizado colaboraciones en Rioja2 desde la Campus Party de Valencia y en la revista de seguridad informática HAKIN9 como corrector y beta tester. Autor de varios cursos de elearning para adrformacion.com, entre los que destacan Internet, Seguridad en internet, Windows XP, Firma electrónica, Diseño gráfico con software libre e Internet 2.0 Utilidades. También colabora en el directorio de Google dmoz.org en la sección Seguridad en internet. Trabaja en la Dirección General de TIC del Gobierno de La Rioja. Sus intereses versan sobre nuevas tecnologías, en particular internet y seguridad informática.
Balo el cielo de Logroño
USO DE COOKIES

Le informamos que utilizamos cookies propias y de terceros para ofrecerte un mejorservicio, de acuerdo con tus hábitos de navegación. Si continuas navegando,consideramos que aceptas su uso. Puedes consultar nuestra Política de Cookies aquí