2019-3-16

SECURITY

Kaspersky encontra vulnerabilidades de segurança no online banking

Segundo a empresa de soluções de segurança, têm vindo a registar-se nos últimos anos incidentes de segurança relacionados com a banca online. Aparentemente, os hackers têm conseguido interceptar códigos via SMS enviados por bancos para roubar contas de clientes

Kaspersky encontra vulnerabilidades de segurança no online banking

No passado mês de janeiro de 2019, o Metro Bank do Reino Unido confirmou à Motherboard web que alguns dos seus clientes sofreram, recentemente, este tipo de fraude online. Isto não é algo novo, já que em 2017, o jornal alemão Süddeutsche Zeitung informou que os bancos alemães se tinham deparado com o mesmo problema. No entanto, também há boas notícias. Como referido pelo próprio Metro Bank, muito poucos clientes tiveram que se deparar com um problema de segurança deste tipo “e nenhum perdeu dinheiro”. 

Para esses casos, a autenticação em dois estágios (2FA), esses 4 ou 6 dígitos que o banco envia por SMS e que o cliente deve introduzir para aprovar uma transação, é um método muito utilizado por entidades financeiras de todo o mundo para manter a salvo o dinheiro dos seus clientes. 

Os hackers podem aceder às mensagens de várias formas, uma das quais é aproveitando-se do erro no protocolo SS7, utilizado nas empresas de telecomunicações para coordenar o envio de mensagens e chamadas. Para a rede SS7 não é importante quem envia o pedido, assim, se os hackers, conseguirem passar pelos sistemas de segurança, a rede vai seguir os seus comandos como se os mesmos fossem legítimos para enviar mensagens e chamadas. 
 
Os hackers conseguem obter o nome do utilizador e palavra-passe da conta online, provavelmente através de phishing, keylogger ou trojans bancários. Assim, iniciam sessão na conta online e solicitam uma transferência. Atualmente, a maioria dos bancos pede uma confirmação adicional e envia um código de verificação à conta do proprietário. Se o banco realiza esta operação através de SMS, aí é quando os hackers conseguem explorar a vulnerabilidade SS7, intercetam a mensagem e introduzem o texto, como se tivessem aquele telemóvel. Os bancos aceitam a transferência como legítima já que a transação foi autorizada duas vezes: com a palavra-passe do cliente e com o código de apenas uma utilização. O dinheiro acaba assim nas mãos dos hackers. 

Tudo isto poderia ser evitado se os bancos utilizassem uma autenticação em dois estágios que não dependesse de mensagens de texto (por exemplo, uma aplicação de autenticação ou um dispositivo de autenticação hardware como o Yubikei). De momento, a maioria das entidades financeiras não permite outros meios de autenticação em dois estágios que não seja através de SMS. Os investigadores da Kaspersky Lab esperam que, num futuro próximo, os bancos de todo o mundo possam oferecer aos seus clientes outras opções que melhorem a sua proteção. 

ARTIGOS RELACIONADOS

Modificações de Trojans móveis bancários atingem recorde histórico
SECURITY

Modificações de Trojans móveis bancários atingem recorde histórico

LER MAIS

Novo malware bancário rouba informações financeiras
SECURITY

Novo malware bancário rouba informações financeiras

LER MAIS

Phishing: mais de metade dos ataques destinam-se a roubo de dados bancários
SECURITY

Phishing: mais de metade dos ataques destinam-se a roubo de dados bancários

LER MAIS

Recomendado pelos leitores

Commvault anuncia solução conjunta com Pure Storage para cumprir requisitos do DORA
SECURITY

Commvault anuncia solução conjunta com Pure Storage para cumprir requisitos do DORA

LER MAIS

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.