Los sistemas de seguridad bancarios, de nuevo en entredicho
Pese a que los sistemas de seguridad basados en token parecían un método fiable para realizar transacciones bancarias online, los hackers han encontrado el sistema para ponerlos a prueba.
En las últimas semanas, se han detectado hasta 35 nuevos sitios nuevos de phishing que utilizan el nuevo tipo de ataque. Intentan que los usuarios proporcionen las contraseñas temporales creadas por los token de sguridad utilizados por bancos como Citigroup. Los dispositivos token son utilizados para crear una contraseña temporal y adicional para los clientes de la banca online. Estas contraseñas son válidas para un corto periodo de tiempo y pueden ser utilizadas tan sólo una vez. Los bancos estadounidenses ofrecen los tokens a los usuarios para cumplir con las exigencias de la Administración estadounidense que demanda un refuerzo de las medidas de seguridad para asegurar las transacciones bancarias online.
En el ataque detectado contra los clientes de Citibank, los phishers configuraron un sitio web malicioso en el que las víctimas dejaban sus contraseñas. El sitio dirigía la información de forma instantánea hacia el sitio web real de Citybank, permitiendo a los criminales registrarse antes que la víctima.
Si bien las nuevas técnicas de phishing muestran que ninguna medida tecnológica parece ser efectiva al 100%, los sistemas de identificación basados en token continúan siendo una herramienta válida contra el software malicioso. Estos ataques se dirigen a víctimas que introducen información personal en sitios webs sin identificar. Se trata, no obstante, de un tipo de víctima que se está volviendo más difícil de encontrar a medida que los usuarios toman conciencia del fenómeno phishing. La mayoría de los 35 sitios de phisihing encontrados por Netcraft ya se han cerrado, si bien alguno queda todavía operativo.