Esteu aquí

Zeus Mitmo

La seguretat de les transaccions bancàries en les que els mòbils són usats per a la recepció d'informació sensible torna a posar-se en entredit degut a les accions fraudulentes detectades en una nova versió del troià Zeus, que ha estat rebatejat com Zitmo (Zeus In The Mobile), capaç d'arrambar amb els fons de les nostres comptes corrents i que afecta a terminals mòbils Blackberry i amb plataforma Symbian.

Bruce Schneier, amb una clarividència que només pot tenir ell afirmava en un article de l'any 2005 al voltant de l'autenticació en dos passos que:

Recentment, he vist exemples de l'autenticació en dos passos amb dos vies de comunicació diferents: l'anomenen "autenticació de dos canals". Un banc envia un desafiament al telèfon mòbil de l'usuari via SMS i n'espera d'aquest una resposta també via SMS. Si assumim que tots els clients del banc tenen telèfon mòbil, això es pot traduir en una autenticació en dos passos sense necessitat de hardware addicional. I encara millor, la segona peça de l'autenticació segueix un canal de comunicació diferent del primer, fent que l'escolta de la comunicació sigui molt més difícil.

Però en aquest nou mon d'atacs actius, a ningú li importa. Un atacant utilitzant un atac de man-in-the-middle estarà feliç de tenir la conformitat de l'usuari que rep i envia el SMS ja que li donaran la feina feta. I a un atacant que hagi introduït un troià no li importarà el més mínim perquè està traslladant a l'usuari la part de l'autenticació i confia en l'usuari que ha iniciat la sessió.

La veritable amenaça és el frau per suplantació d'identitat i les tàctiques de suplantació canviaran en funció de les defenses que es vagin aplicant. L'autenticació en dos passos obligarà als criminals a modificar les seves tàctiques, això és tot.

Qui més qui menys ha fet alguna vegada una compra o transacció per Internet, utilitzant un TPV on per acabar de confirmar una transacció se'ns envia un SMS amb un codi i després se'ns demana que introduïm aquest codi en algun lloc per acabar de finalitzar-la.

Fins ara la botnet Zeus especialitzada en troians bancaris només afectava als ordinadors personals. Era (i és) capaç de detectar números de comptes bancaris, targetes, etc. Segons sembla, en un article publicat per la consultora de seguretat S21sec i la companyia de productes de seguretat Fortinet, ha aparegut una nova modalitat de troians relacionats amb aquesta botnet que estan dirigits als telèfons mòbils, anomenada Zitmo (Zeus In The Mobile).
En principi només (sic) es veuen afectats els telèfons amb SO Symbian (bàsicament tots els Nokia) i les Blackberry. No s'ha detectat encara en iPhone ja que aquest només deixa instal•lar aplicacions descarregades de Apple Store via iTunes, però sempre hi ha el que ha aplicat el JailBreak al seu iPhone (qui sap que pot passar...).

El mecanisme de funcionament és el següent: Partint d'un ordinador que tingui ja instal•lat el troià de Zeus, se li envia a la persona un missatge o se li fa aparèixer una pantalla "suposadament" enviada per el seu banc. En aquesta se li demana el número i model del mòbil que tingui aquesta persona, per poder-li enviar un "suposat" certificat que li caldrà a partir d'ara per finalitzar les transaccions amb el mòbil.

Zitmo intercepta els SMS i pot confirmar les transaccions bancàries iniciades per el troià Zeus a l'ordinador de la víctima, sense que aquest se'n assabenti i poder-li buidar, d'aquesta manera, completament les seves comptes bancàries, detectant a més el nom de l'usuari i la clau de client en el seu ordinador. De tal manera que els cibercriminals poden començar a realitzar les transferències des del compte bancari de l'usuari i confirmar-les interceptant els missatges SMS, sense que aquest pobre usuari tingui constància en cap moment que està sent víctima d'un robatori.

Si rebeu algun missatge en el mòbil dient-vos que cal que instal•leu un certificat o qualsevol altre aplicació en el vostre mòbil per poder relacionar-vos amb el vostre banc no ús ho penseu dos cops. Primera perquè segurament teniu instal•lat el troià Zeus al vostre PC i ús han aconseguit (per alguna via) agafar el número de mòbil i segon no perdeu un segon i esborreu el missatge SMS a l'instant. Reviseu la pàgina dedicada a la seguretat del vostre banc i informeu-vos al voltant de les mesures que heu d'aplicar a nivell personal.

La veritat que és fantàstic que hi hagin tipus com en Bruce Schneier que ja l'any 2005 avisaven de que aquestes coses poden passar i la veritat és que també fa molta pena veure el poc cas que se'ls hi fa.