Yash K.S., Gerente de Tecnología de Red Force Labs compartió un video de una prueba de concepto (http://www.yashks.com/2012/01/virus-attack-on-hsbc-transactions-with-otp-device/), donde muestra como claramente un virus especialmente diseñado puede ser utilizado en un ataque del tipo Man in the Browser (MitB) para corromper la data de una transacción, enviándola a otro destinatario. Esto a pesar de que el cliente haya utilizado una segunda clave de seguridad (como un token o una tarjeta de coordenadas).
El foco del video no es promover actividades ilegales, por lo que no se divulgan detalles del código fuente del virus ni de su implementación, sino crear conciencia en la industria de que hay problemas de seguridad importantes que afectan a los sistemas de banca online, los que deben ser enfrentados tanto por la banca como por los desarrolladores de antivirus y browsers para disminuir las brechas de seguridad.
“Creemos que a menos que sepas realizar un hacking ético, no te puedes defender completamente de un ataque malicioso”, nos presenta la introducción del video.
En el video, el experto nos muestra como un cliente sufriría un ataque: Se loguea en su sitio privado con su id, clave y OTP, cuando ingresa la información del destinatario, el virus altera los datos de la transacción de cara al banco, cambiando tanto el monto como el destinatario (pero mostrando los datos originales al cliente). Luego el cliente confirma la transacción con una nueva OTP y la completa, pero cuando va a ver su cartola de movimientos se encuentra con la sorpresa de que el dinero se fue para otro lado.
En la demostración, Yash utiliza un computador con Windows 7, Internet Explorerer y un antivirus actualizado Kaspersky.
Les dejo un link con una aplicación para smartphone que enfrenta este problema y permite realizar transacciones online de forma segura: http://www.orand.cl/safesigner/