Un número de autentificación de transacción ( TAN ) es utilizado por algunos de banca en línea de servicios como una forma de un solo uso de contraseñas de un solo uso (OTP) para autorizar las transacciones financieras . Los TAN son una segunda capa de seguridad que va más allá de la autenticación tradicional de contraseña única .
Los TAN brindan seguridad adicional porque actúan como una forma de autenticación de dos factores (2FA). Si el documento físico o el token que contiene los TAN es robado, será inútil sin la contraseña. Por el contrario, si se obtienen los datos de inicio de sesión, no se pueden realizar transacciones sin un TAN válido.
TAN clásico
Los TAN a menudo funcionan de la siguiente manera:
- El banco crea un conjunto de TAN únicos para el usuario. Normalmente, hay 50 TAN impresos en una lista, lo suficiente para que dure medio año para un usuario normal; cada TAN tiene seis u ocho caracteres de longitud.
- El usuario recoge la lista de la sucursal bancaria más cercana (presentando pasaporte , cédula de identidad o documento similar) o se le envía la lista TAN por correo.
- La contraseña (PIN) se envía por correo por separado.
- Para iniciar sesión en su cuenta, el usuario debe ingresar el nombre de usuario (a menudo el número de cuenta) y la contraseña ( PIN ). Esto puede dar acceso a la información de la cuenta, pero la capacidad de procesar transacciones está desactivada.
- Para realizar una transacción, el usuario ingresa la solicitud y autoriza la transacción ingresando un TAN no utilizado. El banco verifica el TAN enviado con la lista de TAN que emitió al usuario. Si coincide, se procesa la transacción. Si no coincide, la transacción se rechaza.
- El TAN ya se ha utilizado y no se reconocerá para ninguna otra transacción.
- Si la lista TAN se ve comprometida, el usuario puede cancelarla notificando al banco.
Sin embargo, como cualquier TAN se puede utilizar para cualquier transacción, los TAN siguen siendo propensos a ataques de phishing en los que se engaña a la víctima para que proporcione una contraseña / PIN y uno o varios TAN. Además, no brindan protección contra ataques man-in-the-middle (donde un atacante intercepta la transmisión del TAN y lo usa para una transacción falsificada). Especialmente cuando el sistema cliente se ve comprometido por algún tipo de malware que habilita a un usuario malintencionado , la posibilidad de una transacción no autorizada es alta. Aunque los TAN restantes no están comprometidos y pueden usarse de manera segura, generalmente se recomienda a los usuarios que tomen las medidas adecuadas lo antes posible.
TAN indexado (iTAN)
Los TAN indexados reducen el riesgo de phishing. Para autorizar una transacción, no se le pide al usuario que use un TAN arbitrario de la lista, sino que ingrese un TAN específico identificado por un número de secuencia (índice). Como el índice es elegido al azar por el banco, un TAN arbitrario adquirido por un atacante generalmente no tiene valor.
Sin embargo, los iTAN todavía son susceptibles a los ataques man-in-the-middle , incluidos los ataques de phishing en los que el atacante engaña al usuario para que inicie sesión en una copia falsificada del sitio web del banco y los ataques man-in-the-browser [1] que permiten la atacante para intercambiar en secreto los detalles de la transacción en el fondo de la PC, así como para ocultar las transacciones reales realizadas por el atacante en la descripción general de la cuenta en línea. [2]
Por lo tanto, en 2012, la Agencia de la Unión Europea para la Seguridad de las Redes y la Información recomendó a todos los bancos que consideren que los sistemas de PC de sus usuarios están infectados por malware de forma predeterminada y utilicen procesos de seguridad en los que el usuario pueda verificar los datos de la transacción con manipulaciones como, por ejemplo, ( siempre que la seguridad del teléfono móvil aguante) mTAN o lectores de tarjetas inteligentes con su propia pantalla que incluyen los datos de la transacción en el proceso de generación de TAN mientras se muestran de antemano al usuario ( chipTAN ). [3]
TAN indexado con CAPTCHA (iTANplus)
Antes de ingresar al iTAN, al usuario se le presenta un CAPTCHA , que en segundo plano también muestra los datos de la transacción y los datos que un atacante potencial considera desconocidos, como la fecha de nacimiento del usuario. Esto tiene la intención de dificultar (pero no imposible) que un atacante falsifique el CAPTCHA.
Esta variante del iTAN es un método utilizado por algunos bancos alemanes que agrega un CAPTCHA para reducir el riesgo de ataques man-in-the-middle. [4] Algunos bancos chinos también han implementado un método TAN similar al iTANplus. Un estudio reciente muestra que estos esquemas TAN basados en CAPTCHA no son seguros contra ataques automatizados más avanzados. [5]
TAN móvil (mTAN)
Los mTAN son utilizados por bancos en Austria, Bulgaria, República Checa, Alemania, Hungría, Países Bajos, Polonia, Rusia, Singapur, Sudáfrica, España, Suiza y algunos en Nueva Zelanda, Australia y Ucrania. Cuando el usuario inicia una transacción, el banco genera un TAN y lo envía al teléfono móvil del usuario por SMS . El SMS también puede incluir datos de transacciones, lo que permite al usuario verificar que la transacción no ha sido modificada en la transmisión al banco.
Sin embargo, la seguridad de este esquema depende de la seguridad del sistema de telefonía móvil. En Sudáfrica, donde los códigos TAN entregados por SMS son comunes, ha aparecido un nuevo ataque: SIM Swap Fraud. Un vector de ataque común es que el atacante se haga pasar por la víctima y obtenga una tarjeta SIM de reemplazo para el teléfono de la víctima del operador de red móvil . El nombre de usuario y la contraseña de la víctima se obtienen por otros medios (como keylogging o phishing ). Entre obtener la SIM clonada / de reemplazo y la víctima notando que su teléfono ya no funciona, el atacante puede transferir / extraer los fondos de la víctima de sus cuentas. [6] En el año 2016 un estudio se ha realizado sobre el fraude de intercambio de SIM por un ingeniero social , dejando al descubierto las debilidades en la emisión de la conservación del número.
En 2014 se publicó una debilidad en el Sistema de Señalización No. 7 utilizado para la transmisión de SMS, que permite la interceptación de mensajes. Tobias Engel lo demostró durante el 31º Congreso de Comunicación del Caos . [7] A principios de 2017, esta debilidad se utilizó con éxito en Alemania para interceptar SMS y redirigir de forma fraudulenta las transferencias de fondos. [8]
Además, el auge de los teléfonos inteligentes llevó a ataques de malware que intentaban infectar simultáneamente la PC y el teléfono móvil para romper el esquema mTAN. [9]
pushTAN
pushTAN es un esquema TAN basado en una aplicación del grupo bancario alemán Sparkassen que reduce algunas de las deficiencias del esquema mTAN . Elimina el costo de los mensajes SMS y no es susceptible al fraude de la tarjeta SIM, ya que los mensajes se envían a través de una aplicación especial de mensajería de texto al teléfono inteligente del usuario mediante una conexión a Internet cifrada. Al igual que mTAN, el esquema permite al usuario verificar los detalles de la transacción con manipulaciones ocultas realizadas por troyanos en la PC del usuario al incluir los detalles reales de la transacción que el banco recibió en el mensaje pushTAN. Aunque es análogo al uso de mTAN con un teléfono inteligente, existe el riesgo de una infección de malware paralela en la PC y el teléfono inteligente. Para reducir este riesgo, la aplicación pushTAN deja de funcionar si el dispositivo móvil está rooteado o liberado. [10] A finales de 2014, el Deutsche Kreditbank (DKB) también adoptó el sistema pushTAN. [11]
Generadores TAN
Generadores TAN simples
El riesgo de comprometer toda la lista de TAN se puede reducir mediante el uso de tokens de seguridad que generan TAN sobre la marcha, basándose en un secreto conocido por el banco y almacenado en el token o una tarjeta inteligente insertada en el token.
Sin embargo, el TAN generado no está vinculado a los detalles de una transacción específica. Debido a que el TAN es válido para cualquier transacción enviada con él, no protege contra ataques de phishing donde el atacante usa el TAN directamente, ni contra ataques man-in-the-middle .
ChipTAN / Sm @ rt-TAN / CardTAN
ChipTAN es un esquema TAN utilizado por muchos bancos alemanes y austriacos. [12] [13] [14] Se conoce como ChipTAN o Sm @ rt-TAN [15] en Alemania y como CardTAN en Austria, mientras que cardTAN es un estándar técnicamente independiente. [dieciséis]
Un generador ChipTAN no está vinculado a una cuenta en particular; en cambio, el usuario debe insertar su tarjeta bancaria durante el uso. El TAN generado es específico de la tarjeta bancaria, así como de los detalles de la transacción actual. Hay dos variantes: en la variante anterior, los detalles de la transacción (al menos el monto y el número de cuenta) deben ingresarse manualmente. En la variante moderna, el usuario ingresa la transacción en línea, luego el generador TAN lee los detalles de la transacción a través de un código de barras parpadeante en la pantalla de la computadora (usando fotodetectores ). Luego muestra los detalles de la transacción en su propia pantalla al usuario para su confirmación antes de generar el TAN.
Como es un hardware independiente, acoplado solo por un canal de comunicación simple, el generador TAN no es susceptible de ser atacado desde la computadora del usuario. Incluso si la computadora es subvertida por un troyano , o si ocurre un ataque man-in-the-middle , el TAN generado solo es válido para la transacción confirmada por el usuario en la pantalla del generador TAN, por lo tanto, modificar una transacción retroactivamente sería provocar que el TAN no sea válido.
Una ventaja adicional de este esquema es que debido a que el generador TAN es genérico y requiere que se inserte una tarjeta, se puede usar con múltiples cuentas en diferentes bancos, y perder el generador no es un riesgo de seguridad porque los datos críticos para la seguridad se almacenan. en la tarjeta bancaria.
Si bien ofrece protección contra la manipulación técnica, el esquema ChipTAN sigue siendo vulnerable a la ingeniería social . Los atacantes han intentado persuadir a los propios usuarios para que autoricen una transferencia con un pretexto, por ejemplo, alegando que el banco requería una "transferencia de prueba" o que una empresa había transferido dinero falsamente a la cuenta del usuario y deberían "devolverlo". [1] [17] Por lo tanto, los usuarios nunca deben confirmar transferencias bancarias que no hayan iniciado ellos mismos.
ChipTAN también se utiliza para asegurar transferencias por lotes ( Sammelüberweisungen ). Sin embargo, este método ofrece mucha menos seguridad que el de transferencias individuales. En caso de una transferencia por lotes, el generador TAN solo mostrará el número y la cantidad total de todas las transferencias combinadas; por lo tanto, para las transferencias por lotes hay poca protección contra la manipulación por parte de un troyano. [18] Esta vulnerabilidad fue reportada por RedTeam Pentesting en noviembre de 2009. [19] En respuesta, como mitigación, algunos bancos cambiaron su manejo de transferencia por lotes para que las transferencias por lotes que contengan un solo registro sean tratadas como transferencias individuales.
Ver también
- Contraseña de un solo uso
- Token de seguridad
Referencias
- ^ a b Candid Wüest, equipo de respuesta de seguridad global de Symantec ¿ Avances actuales en troyanos bancarios? Archivado el 25 de abril de 2014 en Wayback Machine iriss.ie, Servicio de seguridad de la información e informes de Irlanda, 2 de diciembre de 2012 (PDF; 1,9 MB)
- ^ Katusha: LKA zerschlägt Ring von Online-Betrügern WinFuture.de, 29 de octubre de 2010
- ^ Los robos a bancos en línea de "High Roller" revelan brechas de seguridad Agencia de la Unión Europea para la seguridad de las redes y la información, 5 de julio de 2012
- ↑ heise online (26 de octubre de 2007). "Verbessertes iTAN-Verfahren soll vor Manipulationen durch Trojaner schützen" (en alemán).
- ^ Li, Shujun; Syed Amier Haider Shah; Muhammad Asad Usman Khan; Syed Ali Khayam; Ahmad-Reza Sadeghi; Roland Schmitz (2010). "Rompiendo CAPTCHA de banca electrónica" . Actas de la 26ª Conferencia Anual de Aplicaciones de Seguridad Informática (ACSAC 2010) . Nueva York, NY, EE.UU .: ACM. págs. 171–180. doi : 10.1145 / 1920261.1920288 .
- ^ Pesadilla de fraude de swop SIM de la víctima iol.co.za, Independent Online, 12 de enero de 2008
- ^ "31C3: Mobilfunk-Protokoll SS7 offen wie ein Scheunentor" (en alemán). 2014-12-28.
- ^ Fabian A. Scherschel (3 de mayo de 2017). "Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt" (en alemán).
- ^ El troyano SMS Eurograbber roba 36 millones de euros de los bancos en línea techworld.com, 5 de diciembre de 2012
- ^ Online-Banking mit pushTAN - FAQ berliner-sparkasse.de, Berliner Sparkasse (AöR), obtenido el 27 de agosto de 2014.
- ^ Informationen zu pushTAN dkb.de, Deutsche Kreditbank AG, obtenido el 12 de marzo de 2015.
- ^ Página oficial de Postbank chipTAN comfort de Postbank, recuperado el 10 de abril de 2014.
- ^ chipTAN: Escuche werden überflüssig página oficial de Sparkasse, recuperado el 10 de abril de 2014.
- ^ Die cardTAN página oficial de Raiffeisen Bankengruppe Österreich, recuperado el 10 de abril de 2014.
- ^ "Sm @ rt-TAN" . www.vr-banking-app.de (en alemán) . Consultado el 10 de octubre de 2018 .
- ^ Die neue cardTAN ebankingsicherheit.at, Gemalto NV, obtenido el 22 de octubre de 2014.
- ^ El ataque de Tatanga expone las debilidades de chipTAN trusteer.com, 4 de septiembre de 2012
- ^ "chipTAN-Verfahren / Was wird im TAN-Generator angezeigt?" (PDF) . Sparkasse Neckartal-Odenwald. Junio de 2013 . Consultado el 1 de diciembre de 2014 .
SEPA-Sammelüberweisung, Inhalt: mehr als 1 Posten. Anzeige 1: Summe, Anzeige 2: Anzahl Posten
- ^ "Ataques de intermediario contra el sistema de banca en línea de confort chipTAN" . RedTeam Pentesting GmbH . Consultado el 1 de diciembre de 2014 .