Novos riscos para o iOS 12 que expõem usuários a fraudes bancárias on-line
O Preenchimento automático do código de segurança é um novo recurso para iPhones no iOS 12. Ele deve melhorar a usabilidade da autenticação de dois fatores, mas pode expor os usuários à fraude bancária online, removendo o aspecto de validação humana do processo de autenticação/validação de transação.
A autenticação de dois fatores (2FA), geralmente chamada de verificação em duas etapas, é um elemento essencial de muitos sistemas de segurança, especialmente para transações on-line e acesso remoto. Na maioria dos casos, o 2FA fornece segurança estendida verificando se o usuário tem acesso a um dispositivo móvel. No 2FA baseado em SMS, por exemplo, um usuário registra seu número de telefone em um serviço online. Quando este serviço vê uma tentativa de acesso para a conta de usuário correspondente, envia uma Senha de uso único (OTP), por exemplo, quatro a seis dígitos, para o número de telefone registrado. O usuário legítimo recebe esse código e pode inseri-lo durante o processo de login - algo a que um imitador não tem acesso.
No WWDC18 conferência do desenvolvedor em junho, a Apple anunciou que automatizará esta última etapa do processo 2FA no iOS 12 para melhorar a experiência de usuário. O Preenchimento automático do código de segurança , atualmente disponível para desenvolvedores em uma versão beta, permitirá que o dispositivo móvel verifique as mensagens SMS recebidas em busca de tais códigos e os sugira na parte superior do teclado padrão.
Descrição do novo Preenchimento automático do código de segurança característica
(fonte: maçã )
Melhorando a experiência de usuário 2FA baseada em SMS
Atualmente, esses códigos SMS dependem do usuário alternar ativamente de aplicativos e memorizar o código, o que pode levar alguns segundos. Alguns usuários tentam memorizar o código a partir do banner de visualização e depois inseri-lo. O novo recurso iOS da Apple exige um único toque do usuário para inserir automaticamente o código de segurança. Isso agilizará o processo de acesso e reduzirá erros, uma melhoria significativa na usabilidade do 2FA. Também poderia aumentar a adoção do 2FA entre os usuários do iPhone.
Exemplo de Preenchimento automático do código de segurança recurso em operação no iPhone (fonte: Apple )
Além disso, se os usuários sincronizarem o SMS com o MacBook ou iMac, os Encaminhamento de mensagem de texto O recurso também enviará códigos do iPhone e permitirá Preenchimento automático do código de segurança no Safari.
Exemplo de Preenchimento automático do código de segurança recurso sincronizado com o macOS Mojave (fonte: Apple )
Reduzir o atrito na interação do usuário para melhorar a adoção da tecnologia por novos usuários e aumentar a usabilidade e a satisfação dos usuários existentes, não é um conceito novo. Foi discutido extensamente na academia e também é um objetivo comum na indústria, por exemplo, em serviços bancários e financeiros. Isso é evidente em como o financeiro e pagamentos indústria incentivou pagamentos sem contato (Near Field Communication ou NFC), o que torna as transações abaixo de um determinado limite muito mais rápidas que os pagamentos tradicionais com chip e PIN.
iOS 12 Preenchimento automático do código de segurança O recurso pode expor bancos e usuários a fraudes
Como arquitetos e designers, especialmente em segurança de computadores, sabemos que ao fazer alterações em uma parte de um sistema, precisamos avaliar como isso afeta todas as outras partes com as quais ele interage. No caso do próximo Preenchimento automático do código de segurança no iOS 12, ao tornar o 2FA baseado em SMS mais práticos para os usuários, ele pode negar os benefícios de segurança da validação de transação e dos TANs (números de autenticação de transação).
A autenticação de transação, em oposição à autenticação do usuário, atesta a exatidão da intenção de uma ação, e não apenas a identidade de um usuário. É amplamente conhecido no sistema bancário on-line e, especificamente, como uma maneira de atender aos requisitos da Diretiva Revisada de Serviços de Pagamento da UE (PSD2) para vinculação dinâmica , onde é uma ferramenta essencial para se defender contra ataques sofisticados. Por exemplo, um adversário pode tentar induzir uma vítima a transferir dinheiro para uma conta diferente daquela pretendida. Para conseguir isso, o adversário pode usar técnicas de engenharia social como phishing e vishing e / ou ferramentas como Malware Man-in-the-Browser .
A autenticação de transação é usada para se defender contra esses adversários. Existem métodos diferentes, mas no de relevância aqui - que está entre os métodos mais comuns atualmente usados - o banco irá resumir os dados da transação, adicionar um TAN criado especificamente a partir desses dados e enviar ambos para o número de telefone registrado via SMS. O usuário, ou cliente bancário, nesse caso, deve verificar o resumo e, se esse resumo corresponder às suas intenções, inserir o TAN da mensagem SMS na página da web.
TAN por SMS para serviços bancários online
Os críticos do OTP baseado em SMS, usados para autenticação 2FA ou transação, chamaram isso de inseguro. Por exemplo, nos últimos anos, o Instituto Nacional de Padrões e Tecnologia (NIST) inicialmente SMS publicamente criticado como um meio de comunicação para autenticação segura, rotulando-o como inseguro e inadequado para autenticação forte. No entanto, mais recentemente, eles suavizaram seu idioma e, em vez disso, SMS 2FA descontinuado . No entanto, ainda é considerado seguro o suficiente a ser usado para autenticação forte de cliente (SCA) em PSD2 .
Como o Preenchimento automático do código de segurança pode negar os benefícios de segurança da autenticação de transação
Esse novo recurso do iOS cria problemas para o uso de SMS na autenticação de transações. Aplicado ao 2FA, o usuário não precisaria mais abrir e ler o SMS a partir do qual o código já foi convenientemente extraído e apresentado. O código é detectado em uma mensagem baseada em heurísticas, como proximidade com as palavras 'código' ou 'senha', que são usadas em mensagens que fornecem códigos 2FA e TANs. Preenchimento automático do código de segurança em uma página da Web ou em um aplicativo é sugerido se o campo de entrada for marcado de acordo.
A menos que esse recurso possa distinguir de maneira confiável entre OTPs em 2FA e TANs na autenticação de transações, podemos esperar que os usuários também tenham seus TANs extraídos e apresentados sem contexto dos dados da transação, por exemplo, quantidade e destino da transação.
O fato de um usuário verificar essas informações importantes é precisamente o que fornece os benefícios de segurança. Remover isso do processo o torna ineficaz. Exemplos em que Preenchimento automático do código de segurança pode representar um risco para a segurança bancária on-line, incluindo um ataque Man-in-the-Middle ao usuário que acessa serviços bancários on-line a partir do Safari em seu MacBook, injetando a tag de campo de entrada necessária, se necessário, ou quando um site ou aplicativo mal-intencionado acessar os dados legítimos do banco serviço bancário on-line.
Estamos empolgados com a melhoria da usabilidade antecipada do 2FA e esperamos que ele incentive mais usuários do iOS a adotar o 2FA. Mas dificilmente podemos prever o futuro. A autenticação de transação baseada em SMS pode continuar sendo uma tecnologia estabelecida no banco on-line, com os bancos responsabilizando os clientes se eles não verificarem as informações da transação. Se é justificado colocar o ônus sobre os usuários que se comportam como encorajados pela tecnologia é tanto uma questão legal.
Considerações para casos de uso bancário
Como os bancos continuam a equilibrar as melhorias na experiência do cliente com a proteção de suas instituições e usuários contra fraudes, eles devem ter cuidado com o novo Preenchimento automático do código de segurança característica. Recomendamos que os bancos considerem o seguinte quando se trata de casos de uso de autenticação de transações:
- Continue a educar os clientes sobre a importância de validar cuidadosamente os detalhes de suas transações ao autenticar uma transação, especialmente para aqueles que recebem TANs em um iPhone
- Evite ativar o Preenchimento automático do código de segurança recurso para campos usados para inserir TANs para autenticação de transação
- Implementar mais avançado autenticação tecnologias como biometria (por exemplo, impressão digital, face, comportamental), tecnologia fora da banda (não baseada em SMS) e / ou notificação push para transações de maior risco (por exemplo, transferências de fundos)
- Proteja os aplicativos móveis contra comprometimento com a tecnologia de blindagem de aplicativo móvel de aplicativos e autoproteção de aplicações em tempo de execução (RASP)
Para obter mais informações sobre como proteger a validação de transação, faça o download deste white paper:
https://www.onespan.com/solutions/psd2-which-strong-authentication-and-transaction-solutions-comply
RELATÓRIO BRANCO
PSD2: quais soluções fortes de autenticação e transação cumprem?
Descubra os requisitos mais importantes do RTS final e quais soluções de autenticação têm maior probabilidade de atender aos requisitos.
Baixar AgoraReconhecimento
Este artigo foi publicado pela primeira vez por Andreas Gutmann em O olhar de Bentham , um blog de pesquisadores de Segurança da Informação da University College London. Agradecimentos especiais a Vincent Haupert por seus comentários no artigo original. Desde então, atualizamos este artigo com mais informações sobre como Preenchimento automático de código seguro pode ser utilizado em um ataque, na conferência de desenvolvedores da Apple WWDC18 e nas imagens incorporadas.
