it-swarm.com.de

Einmalpasswort per SMS: Mögliche Exploits?

Gibt es ein glaubwürdiges Szenario, in dem das OTP (One Time Password) für Online-Kreditkartentransaktionen (speziell für Verified by Visa) umgangen werden kann?

Kontext: Ein Mann, den ich kenne, wurde über die üblichen Social-Engineering-Wege (dumm, ich weiß!) Betrogen, seine Kreditkartendaten preiszugeben, und es wurde eine betrügerische Transaktion durchgeführt. Die Bank sagt, dass ein genaues OTP eingegeben wurde und daher ihre Haftung endet. Ich stimme ihnen eher zu.

Das Opfer OTOH besteht darauf, dass er den Phishern zwar telefonisch seine Kartennummer, sein Ablaufdatum und seinen CVV mitgeteilt hat, ihnen jedoch niemals das über sein Mobiltelefon empfangene OTP gegeben hat SMS (Textnachricht). I. finde das schwer zu rationalisieren.

Deshalb frage ich mich, ob es wirklich Angriffskanäle geben könnte, die den OTP-SMS-Schutz irgendwie zunichte machen. Die einzige Möglichkeit, ein Brainstorming durchzuführen, ist eine Variante des Klonens von SIM-Karten.

Was denken die Leute? Kennen Sie solche Exploit-Berichte in freier Wildbahn? (Normalerweise hätte ich nicht geglaubt, dass die Opfer darauf bestanden, dass er die OTP nie enthüllte, aber ich spiele nur ein bisschen Devils Advocate)

Falls es darauf ankommt, verwendet Verified by Visa ein 4-6-stelliges OTP, das per SMS gesendet wird und in 180 Sekunden abläuft.

5
curious_cat

Da OTP von SMS) immer beliebter wird, gibt es einen wachsenden Trend bei Malware, es zu stehlen.

Schauen Sie sich beispielsweise diesen Bericht auf NeverQuest an. Sobald es Ihren Computer infiziert und alle anderen Anmeldeinformationen stiehlt, wird eine sehr professionell aussehende Seite angezeigt, die anscheinend von Ihrer Bank stammt und Sie auffordert, eine App herunterzuladen. Und dann stiehlt es natürlich Ihre OTPs.

(PDF) https://devcentral.f5.com/d/neverquest-malware-analysis?download=true

Wenn Ihr Freund darauf besteht, dass er nicht aufgefordert wurde, eine App herunterzuladen, ist das wahrscheinliche Szenario das folgende:

  1. Er lud eine App herunter, die echt aussah und Berechtigungen zum Lesen von Textnachrichten erforderte.
  2. Sobald die App ausgeführt wurde, schickte sie seine Telefonnummer an die Betrüger.
  3. Die Betrüger riefen ihn an und fragten nach seinen Details.
  4. Die Betrüger haben sich mit seinen Daten angemeldet.
  5. Die Bank hat Ihrem Freund ein OTP geschickt.
  6. Die App leitete es an die Betrüger weiter und löschte die SMS vom Telefon).
  7. Die Betrüger haben die Anmeldung über das OTP abgeschlossen.

Ich habe noch nichts von dieser Methode gehört, aber sie wäre sehr einfach zu implementieren. Viel einfacher als Neverquest.

4
ColBeseder

Wenn Ihr Freund die Wahrheit sagt, gibt es verschiedene Möglichkeiten, wie die Angreifer den Code hätten erhalten können:

  1. Wenn es sich bei dem Telefon um ein GSM handelt, haben sie möglicherweise seine SIM-Karte geklont und auf diese Weise seine Textnachrichten empfangen
  2. Textnachrichten werden von Systemen verarbeitet, die als SMS-Cs bezeichnet werden - Server, auf denen Software ausgeführt wird, die Textnachrichten verarbeitet, die sich im Netzwerk des Mobilfunkanbieters befinden. Wenn es den Phishern gelingt, die SMS-C zu hacken, können sie auf jede Textnachricht im System zugreifen
  3. Sein Telefon wurde gehackt - Telefon-Malware hätte den Phishern Zugriff auf Textnachrichten auf seinem Telefon gewähren können
  4. Eine App auf dem Telefon hat die Informationen mithilfe von Berechtigungen durchgesickert. On Android Wenn Sie eine Anwendung installieren, wird eine Nachricht mit dem gesamten Zugriff angezeigt, den die App benötigt. Apps mit den geringsten Funktionen fordern manchmal den Zugriff auf E-Mails, SMS, Kontakte, Fotos, Standort, und Browserverlauf - weit mehr als erforderlich, um das zu tun, was sie sagen. Wenn Sie einer Anwendung den Zugriff auf SMS Nachrichten) erlauben, kann sie alle SMS] legitim weiterleiten Sie senden oder empfangen an Dritte. Meistens wird dies für den Verkauf an Werbetreibende durchgeführt. Einige dieser Anwendungen wurden jedoch bekanntermaßen von Kriminellen ausdrücklich zum Zweck des Identitätsdiebstahls und zur Unterstützung allgemeiner Straftaten entwickelt.

Es ist also durchaus möglich, dass Ihr Freund den Kriminellen die SMS - Details nicht direkt mitgeteilt hat, sondern dass er sie indirekt über die von ihm installierten Apps weitergegeben hat.

4
GdD

Sie sollten auch berücksichtigen, dass ein Angreifer den IMSI-Catcher als möglichen Angriffsvektor verwendet hat, um Zugriff auf die Mobiltelefondaten zu erhalten.

IMSI-Catcher sind im Wesentlichen Geräte, die Handytürme imitieren, um Anrufe und Textnachrichten abzufangen. Diese Geräte können Informationen wie die International Mobile Subscriber Identity sowie Telefonanrufe und Textnachrichten abrufen.

Die Regierungsbehörden und Strafverfolgungsbehörden können diese verwenden, aber Sie können jederzeit eine auf dem Schwarzmarkt kaufen oder selbst bauen (wenn Sie wissen, wie es geht).

IMSI-Fänger entführen das Telefonsignal und fangen in einigen Fällen den Inhalt von Anrufen und Texten ab. Die IMSI-Catcher nutzen eine im System integrierte Sicherheitsanfälligkeit aus. Telefone mit 3G- oder 4G-Technologie können Mobilfunkmasten authentifizieren, Telefone auf älteren 2G-Systemen können jedoch nicht zwischen echten und gefälschten Türmen unterscheiden.

Ein IMSI-Catcher blockiert die intelligenteren 3G- und 4G-Signale und zwingt Mobiltelefone in der Region, auf den ungesicherten 2G-Dienst umzuschalten. Dies tun Telefone auch routinemäßig in ländlichen Gebieten, in denen 2G-Dienste weit verbreitet sind. Der IMSI-Catcher posiert dann als Turm und "fängt" Signale.

2
Michal Koczwara

Wenn es sich um ein vierstelliges Passwort handelt und Sie drei Versuche erhalten, es einzugeben, sind drei von 10.000 Angriffen erfolgreich, wenn Sie zufällige Passwörter ausprobieren. Das hört sich nicht nach viel an, aber wenn jeder der rund 1 Milliarde Menschen mit einer Kredit- oder Debitkarte auf diese Weise angegriffen würde, würden 300.000 Menschen Geschichten wie die Ihres Freundes erzählen.

0
Mike Scott