interceptar los SMS?

hoy me he encontrado con esta nota muy llamativa por la informacion que comenta…
Se habla en los medios de que los malos están pagando hasta 25.000 euros por un modelo antiguo de móvil Nokia muy concreto, que apenas vale ya 30. La razón es que dicen que contiene un error que permitiría interceptar los SMS, y poder así eludir la seguridad de los bancos que utilizan este método para validar transacciones. Hay que tomar con mucha precaución esta información, porque puede que no sea del todo cierta. Es más, según lo implementan algunos bancos, ni siquiera es necesario ningún móvil “mágico” para “interceptar” los SMS, ya tienen otro talón de Aquiles mucho más sencillo de aprovechar. Los precedentes Al parecer Frank Engelsman, de Ultrascan Advanced Global Investigations, observó que se había llegado a pagar 25.000 euros por un Nokia 1100 (un modelo de 2003) y que la demanda del terminal iba en aumento. Observaron que se apostaba sobre todo por un modelo hecho en una fábrica de Bochum, en Alemania. Al parecer, aunque no hay datos técnicos suficientes sobre el problema, el software del teléfono (de 2002) tiene un fallo de seguridad que permite manipularlo. Es posible que hayan conseguido, gracias a la vulnerabilidad, interceptar de alguna forma los SMS de cualquier número. Con esto, podrían eludir la seguridad de la banca online que se sirve de mensajes cortos a los móviles para validar por completo una transacción. En los últimos tiempos, y a la sombra del malware bancario, las entidades han apostado poco a poco por una autenticación de doble canal. Esto es, validar a la persona por un canal (la pantalla del ordenador) y la transacción en sí por otro (normalmente a través de un SMS con un código). Partiendo de la base de que uno de los canales no es nada confiable gracias a la proliferación de troyanos, se busca un canal todavía no demasiado contaminado que valide la transacción. En el texto del mensaje se incluyen normalmente las últimas cifras de la cuenta destino para que el usuario no tenga dudas de en qué momento y hacia dónde se desplaza su dinero. Si han conseguido lo que se rumorea, sería como disponer del “token” de autenticación de cualquiera. El escenario sería el siguiente. Para que los atacantes puedan llevar a cabo este ataque, deben conocer de antemano las contraseñas “habituales” que le autentican ante la banca online. Ya sea mediante phishing o troyanizando el sistema, deben poder al menos ordenar una transacción. Lamentablemente, esta no es la parte más compleja del asunto. Los troyanos bancarios del momento son muy buenos realizando este robo sigiloso de contraseñas, incluso si el banco se protege con tarjetas de coordenadas. Los atacantes deberían entonces ordenar una transacción a sus propias cuentas, interceptar el SMS y confirmarla, eludiendo así uno de los métodos de autenticación de banca online que se suponen más seguros hasta el momento. Las hipótesis Pero en realidad, al no ofrecer datos técnicos que apoyen esta hipótesis, surgen dudas. No hay certeza de que el engaño esté basado en la posibilidad de clonar la tarjeta o hacer que una SIM se comporte como otra cualquiera. En cualquier caso, si fuese posible, estaríamos quizás ante una “condición de carrera” para saber dónde va la información realmente cuando dos teléfonos iguales están registrados. Se dice que son bandas del Este y marroquíes las que están intentando obtener por todos los medios este modelo. Aunque se rumoree que se pueden usar para “phishing avanzado”, en realidad, no se sabe con qué intención. La posibilidad de interceptar las contraseñas de un solo uso enviadas por SMS es sólo una hipótesis para argumentar los elevados precios que parece que se están pagando por estos terminales. Quizás, simplemente han encontrado alguna forma de realizar llamadas ilimitadas sin pagar, impedir ser localizados, o cualquier otra ventaja para quien opera al margen de la ley.
mas informacion: Aqui.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: