Cómo Product-Informed 2FA puede derrotar a la ingeniería social …



Si bien la autenticación de dos factores con reconocimiento del dispositivo no es una panacea, es más segura que la 2FA convencional basada en SMS. Este es el por qué.

En la carrera armamentista cada vez mayor entre atacantes y defensores, la última defensa que se desmorona bajo fuego es la autenticación de dos factores (2FA). Los hackers se han vuelto cada vez más exitosos en el uso de técnicas de ingeniería social que derrotan a 2FA y les permiten tomar el regulate de las cuentas de las víctimas.

Sin embargo, muchos de estos ataques, incluida la toma de handle de la cuenta utilizando números de teléfono con jacks SIM, pueden ser frustrados reestructurando parte del proceso de autenticación, utilizando una modificación menor a los métodos existentes. Es un cambio de 2FA basado en la cuenta (generalmente usando códigos de acceso de un solo uso de SMS, u OTP, enviados a números de teléfono registrados) a 2FA consciente del dispositivo. Al usar 2FA con reconocimiento de dispositivo, el banco, el servicio de correo electrónico u otro proveedor de servicios solo acepta intentos provenientes de un dispositivo reconocido previamente asociado con la cuenta.

Cómo los atacantes derrotan a 2FA con ingeniería social
La autenticación de dos factores basada en SMS ha sido ampliamente adoptada por proveedores de servicios que incluyen instituciones financieras, servicios de correo electrónico, redes sociales y mercados en línea. Entre los sitios world wide web de consumidores que usan cualquier forma de 2FA, aproximadamente el 57% united states of america OTP de SMS, según datos derivados de un informe de 2019 de Javelin Technique & Analysis.

Los sitios net que utilizan 2FA basados ​​en SMS envían un código por SMS al número de teléfono celular registrado. Luego, el usuario escribe o pega este código en el sitio world wide web. Los atacantes pueden obtener ese código ya sea secuestrando el número de teléfono celular a través de una toma de SIM o utilizando la ingeniería social para engañar a la víctima para que entregue el código al atacante.

En el secuestro de SIM, con un poco de ingeniería social competente y persistencia, un estafador puede convencer a un empleado de un proveedor de servicios inalámbricos para transferir el número de teléfono de la víctima a una nueva tarjeta SIM utilizada por el teléfono del atacante. Luego, el atacante comienza a recibir todas las OTP de SMS enviadas a la víctima, poniendo en riesgo todas las cuentas de la víctima asociadas con esas contraseñas de SMS.

La conciencia de la extracción de SIM y otras amenazas a la autenticación multifactor (MFA) está aumentando, aunque hasta la fecha se han identificado pocas soluciones técnicas. En septiembre, el FBI advirtió que los ciberdelincuentes utilizan la ingeniería social y los ataques técnicos para eludir el AMF. En un incidente ampliamente publicitado en agosto, un atacante se hizo cargo de la cuenta de Twitter del CEO de Twitter Jack Dorsey al conectar su teléfono con SIM y luego utilizó la cuenta para tuitear propaganda nazi.

En noviembre, Twitter comenzó a permitir a los usuarios elegir usar métodos 2FA distintos de 2FA basados ​​en SMS. Pero las opciones ofrecidas (aplicaciones de autenticación y claves de seguridad) tienen sus propias vulnerabilidades, incluidos los riesgos de ingeniería técnica o social. En lugar de resolver el problema, Twitter ahora permite a los usuarios seleccionar qué vulnerabilidad enfrentan.

Uso de Device-Knowledgeable 2FA para frustrar la toma de regulate de la cuenta
Los proveedores de cuentas pueden implementar una versión más segura de 2FA cambiando el método de autenticación. El 2FA convencional basado en SMS requiere que el usuario demuestre que tiene acceso al número de teléfono asociado con la cuenta. Con el 2FA compatible con el dispositivo, el usuario debe demostrar que tiene acceso tanto al número de teléfono como al teléfono actual (u otro dispositivo) asociado con la cuenta. (Desde la perspectiva del usuario, no se requiere ningún paso adicional).

Con el 2FA convencional basado en SMS, el sitio world-wide-web envía un SMS que contiene el código de acceso. Con 2FA compatible con dispositivos, el sitio world-wide-web envía un SMS con uno o más enlaces en los que se puede hacer clic, por ejemplo, la pregunta «¿Ha solicitado restablecer su contraseña? con dos respuestas en las que se puede hacer clic, que representan «Sí» y «No» Cuando el usuario hace clic en el enlace «Sí», el sitio world-wide-web verifica automáticamente el perfil del dispositivo.

A menos que el atacante también haya robado el teléfono de la víctima y lo haya desbloqueado, el dispositivo del atacante no se reconocerá como asociado previamente con la cuenta, y el sitio world-wide-web negará el acceso. (Si el usuario hace clic en «No», tanto el usuario como el sitio se dan cuenta del ataque y pueden tomar medidas para restaurar la seguridad).

Métodos para reconocer dispositivos
2FA dispositivo cuenta se aprovecha de tecnologías de dispositivos de identificación que ya están ampliamente desplegados, pero los utiliza de manera diferente. Estas tecnologías de identificación de dispositivos, que se pueden usar en combinación, incluyen varios tipos de cookies colocadas por un sitio world wide web en un dispositivo características del navegador de «solo lectura» como los «agentes de usuario» y datos locales relacionados que los sitios internet normalmente verifican para enviar las instrucciones de visualización correctas para el tipo de dispositivo en distinct y otras características como el nombre de la pink, el nombre del operador y la geolocalización.

Casi todos los sitios internet que ya utilizan cookies y otros identificadores de dispositivos, ya sea para personalizar o detección de fraudes. De hecho, 2FA a menudo se activa si un usuario intenta iniciar sesión desde una ubicación inusual o un dispositivo que no se reconoce. Las opciones para identificar dispositivos incluyen cookies HTML estándar y variantes como cookies flash o cookies de caché.

Cuando un usuario accede a un sitio world-wide-web, el sitio internet también puede verificar las características del navegador world-wide-web del usuario, como el tipo de navegador y la versión instalada, soporte de pantalla táctil, fuentes del sistema instaladas, idiomas instalados, tamaño de pantalla, profundidad de color, zona horaria y detalles del complemento del navegador. Si bien estas huellas digitales no son exclusivas de cada dispositivo, hay tantas permutaciones de los atributos de components y application del usuario que es muy poco possible que el dispositivo de un atacante comparta una huella electronic común.

Caso especial: nuevo dispositivo
Las nuevas medidas de seguridad a menudo imponen cierta fricción en la actividad regular. Para 2FA con reconocimiento de dispositivos, la fricción adicional es mínima en la mayoría de las situaciones. El dispositivo utilizado para establecer la cuenta (o para configurar 2FA por primera vez) se vincularía automáticamente a la cuenta. Si el usuario accede al sitio desde un nuevo dispositivo, el sitio podría enviar un mensaje 2FA suitable con el dispositivo al dispositivo anterior para obtener la autorización. Si la autenticación tiene éxito y el usuario declara que el nuevo dispositivo realmente le pertenece, entonces el nuevo dispositivo se inscribirá automáticamente y luego se puede usar para aprobar futuras verificaciones 2FA con reconocimiento del dispositivo. Otras opciones para añadir nuevos dispositivos a un perfil de usuario incluyen permitir un nuevo dispositivo como autorizado mediante el escaneo de un código QR muestra en el dispositivo primary, o permitir el acceso de un nuevo dispositivo si la configuración del dispositivo comparte navegador (por ejemplo, una cuenta de Google Chrome sincronizado ) con el dispositivo original.

Pero, ¿qué sucede si el usuario reemplaza su teléfono y no tiene ningún otro dispositivo registrado? Casi todas las instituciones ofrecen métodos de escalado para recuperar el acceso a las cuentas, incluso si un usuario ha perdido el acceso al número de teléfono celular o la cuenta de correo electrónico utilizada para la autenticación. Se pueden usar procedimientos de escalado similares con 2FA suitable con dispositivos si el usuario reemplaza o pierde su teléfono. Por ejemplo, se le puede pedir al usuario que responda a preguntas de autenticación basadas en el conocimiento o que informe con precisión pagos muy pequeños realizados a una cuenta corriente ya asociada con el usuario.

Si bien el 2FA con reconocimiento de dispositivos es más seguro que el 2FA convencional basado en SMS, por supuesto no es una panacea. En el juego sin fin de Leapfrog que los profesionales de seguridad juegan con los cibercriminales, casi todos los métodos de seguridad pueden ser derrotados por un atacante resuelto e ingenioso. Todo lo que podemos hacer es continuar haciendo nuestros saltos más inteligentes y por más tiempo.

Para más detalles de investigación, haga clic en aquí.

Contenido relacionado:

Markus Jakobsson, científico jefe de ZapFraud, ha trabajado durante más de 20 años como investigador de seguridad, científico y emprendedor, estudiando phishing, crimeware y seguridad móvil en organizaciones líderes. Dirige la investigación de seguridad de ZapFraud con un enfoque en el uso de … Ver biografía completa

Más concepts





Enlace a la noticia original