インターネットバンキングでSMSを介した2要素認証を使用している銀行のクライアントですか? Androidフォンをお持ちですか? Googleサービスへのアクセスとインターネットバンキングへのアクセスに同じコンピューターを使用していますか?
3つすべての答えが「はい」の場合、資金へのアクセスは、一見思われるほど保護されていません。
認証スキーム
すぐに銀行へのアクセススキームについて予約します。 この記事では、銀行が提供する次の保護について説明します。
- 銀行サイトにアクセスするためのログイン/パスワードのペア
- SMSを介して各操作を確認するためにクライアントの電話に送信されるワンタイムパスワード(ほとんどの場合、デジタルパスワード)
私が出会った4つの銀行のうち、3つの銀行がこの認証スキームを使用しました。
攻撃シナリオ
資金を盗むためには、攻撃者はユーザー名/パスワードを知っており、SMSの到着先の電話にアクセスできる必要があります。
彼はこれを達成することができます:
- ユーザー名/パスワードのペア(ラップトップなど)と電話の盗難
- トロイの木馬を介してコンピューターと電話にアクセスする
- フィッシング手法の使用(サイトを銀行サイトとして隠す)
今、最初と3番目の方法が最も心配です。 ただし、2番目の方法は割引にしないでください。
このシナリオの複雑さは、コンピューターと電話を別々に感染させる必要があり、一方を感染させても他方を感染させないことです。 2つのデバイスを1つよりも感染させることは困難です。これにより、セキュリティが強化されます。
しかし実際には、
コンピューターに感染すると、 Android
フォンに感染する可能性があります。 感染の場合、電話をコンピューターに接続するかどうかは任意です。 攻撃スキームをより詳細に検討してください。
攻撃パターン
Google Playは、デバイスにアプリケーションをリモートインストールするための便利なメカニズムを提供します。
play.google.com/storeから、携帯電話に物理的にアクセスしなくても、携帯電話に任意のプログラムをリモートでインストールできます。 これにより、SMS認証による保護レベルが大幅に低下します。 実際、攻撃者がコンピュータのみに感染するだけで十分であり、電話は悪意のあるアプリケーション自体をダウンロードしてインストールします。
回路自体は次のようになります。
- 攻撃者は、SMSメッセージを特別な電子メールに送信するためのコードを含むアプリケーションをGoogle Playで公開します
- 攻撃者がユーザーのマシンにトロイの木馬を感染させる
- トロイの木馬はplay.google.com/storeにアクセスし 、すべてのユーザーの携帯電話にAndroidアプリケーションをインストールします
- トロイの木馬は、キーロガーを使用して読み取ったユーザー名とパスワードを攻撃者のメールアドレスに送信します
それだけです! これで泥棒はインターネットバンキングにログインするためのログインとパスワードを取得し、SMSからのワンタイムパスワードが電話にインストールされたマルウェアによって彼に送信されます。 この場合、彼はユーザーのSMS通信を読み取るために脆弱性を探す必要はなく(トロイの木馬がコンピューター自体から確認するAndroid許可メカニズムを使用できます)、疑わしいプログラムを手動でインストールするようにユーザーを説得する必要があります(トロイの木馬はサイトを介してすべてを行います)。
保護
残念ながら、電話のGoogle Playアプリケーションでは、サービスのWEBバージョンを介したプログラムのインストールの禁止は見つかりませんでした。 そのため、2要素認証の両方の要素を互いに独立させるために、保護は他の方法に委ねられます。
- 銀行のSMSの受信者のAndroid携帯電話とインターネットバンキングにログインするコンピューターで同じGoogleアカウントを使用しないでください。
- 電話でGoogle Playを使用しないでください(一部のカスタムファームウェアでは使用しません)
- ワンタイムSMSパスワードを受信するには、別の電話(Android以外)を使用します
おわりに
二要素SMS認証は、見た目ほど安全ではありません。