Las instituciones bancarias minoristas en Singapur necesitan actuar rápido para eliminar el uso de contraseñas de un solo uso (OTP) con fines de autenticación al iniciar sesión en cuentas en línea. Esto es parte de un esfuerzo por mitigar el riesgo de ataques de phishing. La Autoridad Monetaria de Singapur (MAS) y la Asociación de Bancos de Singapur (ABS) anunciaron esta medida el 9 de julio de 2024.
Según la MAS, los clientes que hayan activado su token digital en su dispositivo móvil deberán utilizarlo para iniciar sesión en la cuenta bancaria a través del navegador o la aplicación de banca móvil. Esto significa que el token digital autenticará la sesión de inicio de los clientes sin necesidad de una OTP, que los estafadores podrían robar o engañar a los clientes para que la revelen.
Además, la MAS insta a los clientes a activar sus tokens digitales como medida de protección contra ataques diseñados para robar credenciales y tomar el control de sus cuentas para cometer fraudes financieros. ABS respalda esta medida, reconociendo que, aunque puede ocasionar cierta incomodidad, es necesaria para prevenir estafas y proteger a los clientes.
A pesar de que las OTP originalmente pretendían reforzar la seguridad de las cuentas a través de la autenticación de segundo factor (2FA), los ciberdelincuentes han desarrollado troyanos bancarios, bots OTP y kits de phishing capaces de recolectar tales códigos. Por ejemplo, los bots OTP accesibles a través de Telegram han llevado el ‘phishing‘ a un nuevo nivel, llamando a los usuarios y convenciéndolos de ingresar el código 2FA en sus teléfonos para evadir las protecciones de la cuenta.
Tales bots están diseñados principalmente para robar códigos OTP de las víctimas, lo que requiere que los estafadores obtengan credenciales válidas a través de otros medios, como infracciones de datos, conjuntos de datos disponibles para la venta en la web oscura y páginas web de recolección de credenciales.
Recientemente, SlashNext presentó detalles de un kit de ‘phishing‘ «end-to-end» denominado FishXProxy, diseñado para realizar campañas de pesca a gran escala mientras evita defensas. Esta herramienta crea enlaces generados de forma única o adjuntos dinámicos, burlando el escrutinio inicial y utilizando sistemas antirrobot avanzados que utilizan CAPTCHA de Cloudflare para filtrar las herramientas de seguridad.
FishXProxy también utiliza un sistema de seguimiento basado en cookies que permite a los atacantes identificar y rastrear a los usuarios en diferentes proyectos o campañas de phishing, además de crear adjuntos de archivos maliciosos utilizando técnicas de contrabando de HTML que hacen posible evadir la detección.
Además, el aumento del malware móvil ha llevado a Google a presentar un nuevo programa piloto en Singapur que tiene como objetivo evitar que los usuarios instalen ciertas aplicaciones que abusan de los permisos de la aplicación de Android para leer OTP y recopilar datos sensibles.
Vía The Hacker News
