sábado, 14 de dezembro de 2013

Bancos e o SMS

Bancos não deveriam enviar senhas por SMS, diz empresa de segurança

Jeremy Kirk, IDG News Service 13 de dezembro de 2013 - 15h30

"Não confie na autenticação baseada em SMS", diz relatório divulgado pela NSS Labs. "Ela foi completamente comprometida".
A medida de o uso de internet banking cresce, as aplicações maliciosas para dispositivos Android projetadas para interceptar senhas únicas também aumentam.

E recursos de segurança amplamente utilizados para proteger o acesso às contas bancárias online estão cada vez mais ineficazes, a medida que os cibercriminosos desenvolvem softwares maliciosos avançados para dispositivos Android, de acordo com um relatório divulgado pela NSS Labs na quarta-feira (12).

Muitos bancos oferecem aos seus clientes a autenticação de dois fatores, que consiste no envio de uma mensagem SMS com um código que é digitado em um formulário baseado na web. O código expira em poucos minutos e tem a intenção de frustrar os cibercriminosos que têm credenciais de login de uma pessoa.

Mas existem atualmente múltiplos malwares móveis que trabalham em conjunto com um malware em desktop para conseguir essas senhas únicas, escreveu Ken Baylor, vice -presidente de pesquisas da NSS Labs. "Não confie na autenticação baseada em SMS", diz o relatório. "Ela foi completamente comprometida".

Quase todo o malware móvel é escrito para o sistema operacional open-source Android, que permite aos usuários instalarem qualquer aplicativo, segundo o relatório. Códigos maliciosos móveis para iOS são raros já que a Apple proíbe o download de aplicativos que foram vetados pela empresa.

Ataque duplo

Os cibercriminosos usam um golpe duplo. Uma vez que um PC está comprometido, o malware injeta novos campos ou menus pop-up na tela, pedindo o número de telefone de uma pessoa e seu tipo de sistema operacional móvel e modelo do telefone.

Um link é enviado para o telefone e, se clicado, inicia a instalação de malware que envia senhas únicas para outro telefone, permitindo que alguém acesse a conta bancária da vítima, segundo o relatório.

Grande parte do malware de PC e smartphone tem origem em países que faziam parte da antiga União Soviética. Os desenvolvedores de códigos maliciosos se concentram no Android, uma vez que o sistema é amplamente utilizado - e parece haver poucos especialistas em iOS nessas nações, diz o relatório.

Conhecidos programas de malware bancários para desktops - tais como SpyEye, Citadel, Zeus e Carberp, todos têm um componente móvel Android. Embora o Google verifique a Google Play em busca de aplicativos maliciosos "uma quantidade significativa de malware escapa da detecção", diz o relatório.

As instituições financeiras têm sido lentas para seguir o mesmo ritmo. Como o mobile banking continua a crescer, as suas aplicações possuem falhas de segurança.

"Muitos bancos ainda operam aplicações móveis que são apenas invólucros de HTML em vez de aplicativos nativos seguros", disse o relatório.

Os apps devem ser revisados para "incluir uma combinação de navegadores endurecidos, identificação baseada em certificados, chaves únicas, criptografia embutida no app, geolocalização e impressão digital no dispositivo", acrescentou.



IDG

Nenhum comentário: