USSD Los 10 principales riesgos de seguridad para pagos móviles | de Josué Martins | Seguridad móvil

Mapeo de los 10 principales riesgos de seguridad de USSD

SLa seguridad debe estar en el corazón de los sistemas de software, especialmente cuando hay dinero de por medio. En los ecosistemas de dinero móvil o pago móvil que habilitan la función USSD, están expuestos a algunos riesgos que pueden afectar la credibilidad del servicio y pueden ser perjudiciales para los ingresos de la organización, si no se tienen en cuenta y se evitan antes de lanzar un servicio de dinero móvil. A continuación se encuentran los riesgos más frecuentes para los pagos de dinero móvil relacionados con USSD y las recomendaciones para mitigarlos.

01. COMUNICACIÓN INSEGURA

Un ciberdelincuente puede alterar las solicitudes y respuestas de los comandos del USSD mediante la realización de ataques man-in-the-middle mediante el uso de estaciones base falsas y obligando al teléfono inteligente a conectarse mediante 2G o 3G. que son más fáciles de descifrar el tráfico y manipularlo.

Recomendación:

  • Todo el tráfico que sale del teléfono inteligente a la red central debe cifrarse utilizando el algoritmo criptográfico A5/3 o A5/4 e IPsec para evitar ataques de intermediarios.
  • Por todos los medios necesarios, no utilice algoritmos criptográficos A5/0 a A5/2.

02. ATAQUES DE SEÑALIZACIÓN

Un ciberdelincuente puede llevar a cabo un ataque basado en USSD mediante el envío de solicitudes de USSD falsificadas desde las interfaces de roaming o incluso apuntar a las tarjetas SIM con el software vulnerable SIM Tool Kit, como [email protected] Browsers y WIB.

Si el ciberdelincuente envía un SMS binario bien elaborado con instrucciones para enviar un comando USSD, el teléfono inteligente puede enviar una solicitud USSD desde el dispositivo de la víctima y la solicitud parecerá legítima y será procesada por la solución de dinero móvil.

Ataque SimJacker
Las funcionalidades de un navegador [email protected]

Recomendación:

  • Aplique la verificación de velocidad y la limitación de velocidad de las solicitudes de USSD hacia la red doméstica para las solicitudes de USSD relacionadas con el dinero móvil.
  • Restrinja el restablecimiento de la cuenta a través de la solicitud de USSD desde las interfaces de roaming.
  • Bloquee los SMS binarios de las interfaces de roaming o en el centro de SMS que se dirigen a las tarjetas SIM con la vulnerabilidad del navegador [email protected]

03. INSEGURO AUTENTICACIÓN

La autenticación insegura ocurre cuando los controles y protocolos de autenticación se eluden debido a una mala implementación o ausencia de ellos. Por ejemplo, si el menú USSD para la autenticación del usuario no está enmascarado, un atacante puede ver las credenciales del usuario final realizando ataques de ingeniería social, como la navegación por el hombro.

Menú de USSD de dinero móvil

Recomendación:

  • Todos los usuarios que accedan a un menú de dinero móvil deben estar obligados a autenticarse ingresando un MSISDN seguido de un PIN o una CONTRASEÑA; si es necesario, se puede usar una OTP como autenticación de dos factores.
  • No permita sesiones simultáneas.
  • En el uso de OTP, aplique la limitación de velocidad de OTP.
  • El campo de entrada para la contraseña o el PIN debe estar enmascarado.
  • Ocultar información confidencial.

04. USO DE TECNOLOGÍA CON VULNERABILIDAD CONOCIDA

El uso de tecnología con vulnerabilidades conocidas públicamente, como SIM-Jacker, puede representar un gran riesgo de seguridad para las aplicaciones que se ejecutan en el SIM Tool Kit.

Usando SMS binarios como se indicó en el riesgo anterior, un ciberdelincuente puede obligar al dispositivo a enviar una solicitud de USSD a la red doméstica.

Recomendación:

· Evite usar tarjetas SIM con la vulnerabilidad SIM-Jacker o similar, las tarjetas SIM con estas vulnerabilidades son las que soportan el navegador [email protected] y WIB.

  • Si estas tarjetas SIM ya están presentes en la red móvil, solicite al proveedor que proporcione una actualización de software adecuada a través de OTA.
  • Proporcione actualizaciones de software a través de OTA continuamente para parchear las vulnerabilidades conocidas.
ENVIAR USSD a través del navegador [email protected]

05. DÉBIL ALFILER

Los pines débiles dejan el menú basado en USSD vulnerable a ataques de fuerza bruta y adivinanzas.

Recomendación:

  • Todos los pines deben tener al menos un mínimo de 6 dígitos en aras del equilibrio entre seguridad y usabilidad.

06 FALTA DE ENTRADA Y VALIDACIÓN DE DATOS

La validación de datos incorrecta en el USSD puede provocar ataques de inyección que pueden filtrar información confidencial. Un atacante puede insertar texto diseñado específicamente en la entrada del usuario para realizar acciones maliciosas en el servidor back-end.

Recomendación:

  • Toda la entrada insertada por el usuario final en el teléfono inteligente debe considerarse como datos no confiables y debe validarse antes de que el servidor backend los procese.
  • Lo anterior también debe aplicarse a las cadenas relacionadas con USSD de las interfaces de roaming.

07 CONTROL DE ACCESO ROTO

El control de acceso roto se produce debido a la falta de un control de acceso adecuado y permite al usuario acceder a recursos no autorizados, como funciones e información.

Recomendación:

  • El agente no debe enviar cadenas USSD relacionadas con las funciones del cliente y los clientes tampoco deben enviar cadenas USSD relacionadas con las funciones del agente, esto evita que cualquiera de ellos acceda a recursos no autorizados.
  • Debe haber una separación clara de funciones y funciones de perfil entre clientes y agentes.

08. REGISTRO Y MONITOREO INSUFICIENTES

El registro y la supervisión insuficientes, junto con una respuesta a incidentes inexistente o insuficiente, permiten que se produzcan transacciones fraudulentas y no habrá suficiente información disponible para una mayor investigación o incluso para detener los ataques en curso.

Recomendación:

  • Supervise todas las solicitudes de USSD provenientes de las interfaces de roaming.
  • Registre todos los intentos de ataques de fuerza bruta de cuenta y OTP.
  • Correlacione la ubicación de la transacción con la ubicación del usuario, ya sea en la red local o en el extranjero.
  • Valide si ocurrió un SIM SWAP en menos de 24 horas antes de procesar una transacción.

09 AUTORIZACIÓN INSEGURO

Puede ocurrir una autorización insuficiente cuando un atacante puede llevar a cabo un fraude SIM SWAP exitoso e inicia sesión en una cuenta de dinero móvil como usuarios legítimos si los controles de seguridad no están implementados en las tiendas del operador móvil.

Recomendación:

  • Evite las transacciones basadas en USSD o de dinero móvil (reinicio de cuenta y transferencias) después de un SIM SWAP realizado durante las últimas 24 horas.
  • Notifique a los usuarios finales que se solicitó un SIM SWAP en su nombre a través de contactos alternativos, como direcciones de correo electrónico u otros.

10. CONFIGURACIÓN INCORRECTA

La configuración incorrecta de la seguridad ocurre debido a la falta de alineación entre los administradores del sistema, los administradores de seguridad y otro personal no técnico.

Ejemplos comunes de configuraciones incorrectas son:

  • Contraseña/PIN débil o credenciales estándar que se adivinan fácilmente.
  • Pobre manejo de errores y respuesta a errores.

Recomendación:

  • Obligue al usuario final a cambiar las contraseñas/PIN en el menú USSD cada 3 meses.
  • Deshabilite las contraseñas/PIN predeterminados y obligue al usuario final a crear una nueva contraseña/PIN después del primer inicio de sesión.
  • No emita una respuesta que delate que el usuario final está registrado en el servicio de dinero móvil. Por ejemplo, para intentos de inicio de sesión fallidos, un mensaje de error debería mostrar «Su ID de usuario o PIN es incorrecto». Este mensaje debe estar disponible para usuarios registrados y no registrados.

Se recomienda que la solución de dinero móvil sea inmune a los riesgos, vulnerabilidades y ataques que se presentan en este artículo, al mismo tiempo que se espera que brinde la tríada de seguridad, que son confidencialidad, integridad y disponibilidad.

  1. https://www.methics.fi/2019/09/simjacker-wibattach-all-security-lost/
  2. https://www.adaptivemobile.com/blog/simjacker-next-generation-spying-over-mobile
  3. https://cwe.mitre.org/data/definitions/521.html
  4. https://www.troopers.de/wp-content/uploads/2012/12/TROOPERS13-Dirty_use_of_USSD_codes_in_cellular-Ravi_Borgaonkor.pdf
  5. https://securityaffairs.co/wordpress/52666/hacking/gsm-crypto-hacking.html
  6. https://www.kaspersky.com/blog/gsm-hijacking/11660/
  7. https://www.wired.com/story/gsm-decrypt-calls/

Fuente del artículo

Deja un comentario