Tal y como estamos acostumbrados, la página de acceso a nuestra entidad financiera siempre tiene el mismo aspecto, de manera independiente desde donde se acceda o quién lo haga. Esto facilita a los phishers poder hacer una copia de la página, hospedarla en otro servidor de Internet, y realizar un spam masivo con un mensaje que invite a los usuarios más ingenuos a que introduzcan sus claves en la página falsa de idéntica apariencia.
El sistema antiphishing PassMark o SiteKey del Bank of America consiste básicamente en personalizar la página del banco para cada cliente/usuario, y para hacerlo más visual se basa también en una imagen o foto que el usuario puede elegir entre una galería o personalizar. Por ejemplo, si tienes "bichillo" en casa (niños o mascota), podrías hacer que apareciera una foto suya cada vez que accedes al banco.
Este tipo de "comprobación visual", a priori, facilita a los usuarios detectar que está entrando a su banco y no a una web falsa, en vez de tener que fijarse en que la URL es la correcta y que no han modificado una letra en el dominio, o que aparece el pequeño candadito en el navegador, etc.
En la teoría queda bastante bien, aunque ya sabemos que en la práctica la capacidad del ser humano para engañar y ser engañado no tiene límites. Estoy seguro que un simple mensaje/página advirtiendo al usuario de que no podrá mostrarse su foto por un problema en la base de datos de imágenes, y que es necesario que vuelva a introducir sus claves, sería suficiente en muchos casos.
El otro vector de ataque a este tipo de esquemas es el ataque hombre en medio (man-in-the-middle), más profesional y donde el usuario tiene más complicado percatarse de que está siendo víctima de un fraude. Aunque ya se han dado varios casos de phishing de este tipo, aun son excepciones, ya que la mayoría de los sistemas de seguridad actuales para autenticación web son muy básicos y permiten el phishing primitivo al que estamos acostumbrados.
Siguiendo con las lecturas pendientes del verano, acabo de ojear el PDF Fraud Vulnerabilities in SiteKey Security at Bank of America, que viene a ser una exposición teórico-técnica de un ataque hombre en medio al sistema PassMark que adquiriera la RSA e implantara el Bank of America. Este documento demuestra como es posible realizar un phishing contra esta entidad, donde la página falsa mostraría la imagen personalizada del usuario.
Otro vector de ataque muy claro son los troyanos bancarios, los que pululan actualmente ya pueden con éste y otros sistemas antiphishing.
Re: Paper sobre ataque al sistema antiphishing PassMark
Echamos en falta algunos más información y más ideas sobre cómo doblegar al phishing (es decir, reducir su impacto, eliminarlo se antoja imposible), y quizás menos comentarios en contra de la endeblez de un sistema anti phishing determinado.
Yo este sistema, por muy burlable que sea via troyanos, lo veo muy adecuado, siempre y cuando se acompañe de otras técnicas que sumen, ya que los phishers, los troyaneros y compañía, salvo raras excepciones, van a atacar aquello que menos complejidad entrañe, y obviamente, una entidad con múltiples medidas como la citada, pese a ser burlables a título individual, sin duda ofrece más garantías que otra entidad que se limita a cerrar ataques y que sólo ofrece al usuario final una triste tarjeta de coordenadas.
No quiero con esto decir que la entrada no sea correcta, ya que es lícito analizar los sistemas de los demás y opinar sobre su endeblez. Pero quizás sea más útil hablar de tecnologías, métodos y resultados de investigación propios, o en todo caso, de mejoras en métodos conocidos generados por otros. Yo lo veo más productivo.
Yo siento no conocer los detalles de vuestros sistemas anti phishing para haber opinado con más criterio, pero desconozco si tenéis escrito papers o documentos donde se hable de vuestra manera de abordar el problema. De existir, yo al menos no los he localizado, podríais enlazarlos aquí mismo, si procede.
Un saludo para todos y felicitaciones por el blog
Posted by:
Antonio Iturralde Domínguez
at agosto 26,2006 01:46
Re: Paper sobre ataque al sistema antiphishing PassMark
Antonio: Comparto en parte tus apreciaciones, como que los phishers suelen atacar los sistemas más débiles, pero sobre todo los que más beneficios les produden. No deja de ser una cuestión de economía, buscan el mayor beneficio con el menor esfuerzo posible.
El talón de Aquiles siempre es el sistema de autenticación, el más simple es el usuario y password o pin. A partir de ahí podemos empezar a escalar, que si certificados, tokens, claves de un solo uso, etc. El problema no es tanto dar con un sistema de autenticación más o menos robusto, que los hay, sino todas las circunstancias que rodean su implantación. Desde costes pasando por la usabilidad, la seguridad suele ser un factor que va quedando rezagado a la hora de que una entidad tome una decisión de este tipo.
Al final la balanza suele equilibrarse con soluciones intermedias, como por ejemplo la que comentas de la tarjeta de coordenadas. No son soluciones óptimas, pero la entidad asume un riesgo razonable y se intenta compensar con otras medidas. Por cierto, para mí es más seguro la tarjeta de coordenadas que el sistema PassMark, ¿has tenido malas experiencias con las tarjetas? o viceversa, ¿estás utilizando PassMark?
Sobre los servicios reactivos de phishing (los típicos "cerrar la página"), que nosotros también tenemos, lo que me preocupa es que se monte un negocio un tanto contradictorio, sobre todo cuando veo que se facturan por intervenciones. Es decir, una empresa antiphishing ganaría más mientras más sitios de phishing tenga su cliente. ¿Qué garantías tiene la entidad de que esa empresa está haciendo todo lo posible en materia preventiva? Después, como en todos los servicios, te puedes encontrar diferencias importantes (no hablo sólo de cerrar la página, sino de mitigar el problema antes, etc.) pero no creo que sea sitio para ponerme a "vender".
Lo que si puedo decirte es que una entidad con una buena estrategia antiphishing, a corto-medio plazo, deja de tener problemas. Es posible salir de los circuitos de phishing, porque tristemente los phishers van a migrar a las entidades más débiles. Esto es algo que deben plantearse las entidades que llevan ya años en la cresta de la ola, algo falla.
Sobre que es lo que hacemos nosotros, pues básicamente nos preocupa mucho conocer como trabajan los phishers y el resto del fraude (troyanos bancarios, etc) y las diferentes medidas y técnicas contra este tipo de estafas. Cuando una entidad nos llama no vamos con el paquete debajo del brazo del producto "antipshingtotal" y se lo intentamos calzar, sino que se analiza el estado del arte y se acuerda de forma conjunta la estrategia y medidas a tomar (de acuerdo contigo también en que lo ideal es tomar múltiples medidas). En ese sentido somos bastante flexibles, aunque tenemos ya servicios estándar montados, no hay problema por desarrollar a medida o personalizar.
¿Qué suelo abordarlo desde una perspectiva crítica? Sí, tengo esa fea costumbre. Me preocupa que la entidad conozca las limitaciones de cada técnica, que pueda medir el riesgo, y no esconder las debilidades con fines comerciales.
¿Qué puedo ser más constructivo y mejorar mis posts?... seguro, ahí no tengo excusa, tomo nota :)
