Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/04/2013
Desenvolupen un sistema que millora la seguretat en les operacions bancàries
Cronto acaba d’anunciar que ha desenvolupat un nou mètode de protecció contra el programari maliciós bancari. El nou sistema, denominat photoTAN, utilitza una imatge 2D per a millorar l’autentificació i reduir els riscos en les operacions bancàries.
Un organisme dependent de la Universitat de Cambridge, Cronto, ha desenvolupat un nou mètode de protecció contra els atacs coneguts com a “man-in-the-browser”. Cal recordar que este tipus de programari maliciós se centra a atacar els usuaris de la banca online.
Este tipus de programari maliciós és utilitzat pels cibercriminals per a infiltrar-se en l’ordinador d’un usuari i es fa passar per programari legítim. Una vegada instal·lat, el troià detecta el moment en què l’usuari està duent a terme una transacció online bancària i, abans de realitzar la transacció, és capaç de desviar fons a un altre compte sense que siga detectat de manera immediata ni pel banc ni per l’usuari.
Un exemple d’este tipus de programari maliciós és el scam Eurograbber. En 2012, i gràcies a què va utilitzar una variant del troià Zeus, va aconseguir robar més de 28,6 milions d’euros a prop de 30.000 usuaris bancaris d’Alemanya, Holanda i Espanya. A més, i tal com ha assegurat Symantec, s’ha incrementat la sofisticació del programari maliciós Shylock, que, després de fer estralls al Regne Unit, ha ampliat els seus objectius geogràfics.
Per a combatre estos atacs, Cronto ha desenvolupat, junt amb Commerzbank (segon banc més important d’Alemanya) el sistema photoTAN. I és que, i tal com ha assegurat la companyia, gràcies a este nou mètode de protecció, que utilitza un sistema de seguretat visual en un dispositiu mòbil, es millora l’autentificació i es reduïx el risc del frau.
Amb poques paraules, el sistema utilitza una imatge a color de dos dimensions que conté les dades que el banc vol enviar. Esta imatge ha sigut desenvolupada realitzant una sèrie de proves d’algorismes d’aprenentatge automàtics en grans bases d’imatges. D’esta manera, la imatge, que es reflectix en la pantalla del dispositiu mòbil, s'escaneja i descodifica utilitzant una aplicació que, al seu torn, genera un nombre de sis dígits d’autentificació, el qual és necessari per a completar la transacció.
Segons Igor Drokov, CEO de Cronto, el sistema proporciona una sèrie d’avantatges sobre els tradicionals PIN. "El dispositiu i l’aplicació és tan o més senzill d’utilitzar que PIN, ja que només cal escanejar el codi de barres 2D per a confirmar que tots els aspectes de l’operació són correctes, i introduir un codi que funciona com una firma per a poder realitzar la transacció", ha destacat el CEOA de Cronto, qui recorda que “els lectors de PIN en utilitzar només dígits, són molt limitats. Si la pàgina es veu compromesa per un atac manin-the-browser, l’usuari estaria a mercé dels hackers”.