Experto muestra como las transacciones bancarias se pueden manipular con un ataque Man in the Browser

manin1.jpg

Yash K.S., Gerente de Tecnología de Red Force Labs compartió  un video de una prueba de concepto (http://www.yashks.com/2012/01/virus-attack-on-hsbc-transactions-with-otp-device/),  donde muestra como claramente un virus especialmente diseñado puede ser utilizado en un ataque del tipo Man in the Browser (MitB) para corromper la data de una transacción, enviándola a otro destinatario. Esto a pesar de que el cliente haya utilizado una segunda clave de seguridad (como un token o una tarjeta de coordenadas).

El foco del video no es promover actividades ilegales, por lo que no se divulgan detalles del código fuente del virus ni de su implementación, sino crear conciencia en la industria de que hay problemas de seguridad importantes que afectan a los sistemas de banca online, los que deben ser enfrentados tanto por la banca como por los desarrolladores de antivirus y browsers para disminuir las brechas de seguridad.

“Creemos que a menos que sepas realizar un hacking ético, no te puedes defender completamente de un ataque malicioso”, nos presenta la introducción del video.

En el video, el experto nos muestra como un cliente sufriría un ataque: Se loguea en su sitio privado con su id, clave y OTP, cuando ingresa la información del destinatario, el virus altera los datos de la transacción de cara al banco, cambiando tanto el monto como el destinatario (pero  mostrando los datos originales al cliente). Luego el cliente confirma la transacción con una nueva OTP y la completa, pero cuando va a ver su cartola de movimientos se encuentra con la sorpresa de que el dinero se fue para otro lado.

En la demostración, Yash utiliza un computador con Windows 7, Internet Explorerer y un antivirus actualizado Kaspersky.

One Reply to “Experto muestra como las transacciones bancarias se pueden manipular con un ataque Man in the Browser”

  1. Paola Cornejo dice:

    Les dejo un link con una aplicación para smartphone que enfrenta este problema y permite realizar transacciones online de forma segura: http://www.orand.cl/safesigner/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

scroll to top