Autenticação baseada em 2 fatores Nelson Murilo Agenda ๏ Motivação ๏ Tipos de 2FA ๏ Ataques ๏ Soluções Motivação ๏ Vários bancos e sites estão usando autenticação com 2 fatores ๏ Vários usuários continuam tendo suas credenciais capturadas ๏ Por que? Fatores ๏ O que se sabe ๏ O que se tem ๏ O que se é Tipos ๏ OTP ๏ Internet + SMS (Reverso) ๏ Ligação ๏ Reversa Biometria OTP OTP OTP Solicitação do Cód igo de autenticaçã Código de autenticação ira e c n a n fi o ã ç a s n Tra o OTP ódigo C a r T ns aç ão fin c n a a r i e Ou Có dig o tra tra ns aç ão Man in the middle attack Internet + Hard Token inlog Man in the middle attack Man in the middle attack OTP Man in the middle attack ๏ Manual ou Robô ๏ Janela de ataque ~2 minutos ๏ Troca da transação legítima pela do fraudador OTP ๏ Desvinculado da transação ๏ Man in the middle ๏ Man in the browser Internet + SMS (reverso) Uso: ๏ Identificação de computador ๏ Autenticação ๏ Confirmação de transação Internet + SMS ๏ Man in the Middle ๏ Man in the Browser ๏ Man in the Mobile Internet + Celular Código de autentic ação - SMS ira e c n a n fi o ã ç a s n Tra Internet + Celular Solicitação do SMS vio En o i v n E S M S de de cr ed en cia is Link falso Ac s s e o a o e t i s Internet + Celular Internet + Celular re Download de malwa SMS S SM En vi do o o vi de en Re o de cr ed e Envi nc ia is Link falso e c A o a o s s e t i s Internet + Celular Man in the middle attack ๏ On-line ou Robô ๏ Janela de ataque ~1 dia ๏ Acesso com as credenciais do usuário OTP OTP Internet + Celular Man in the middle attack ๏ On-line ou Robô ๏ Janela de ataque ~1 dia ๏ Acesso com as credenciais do usuário Internet + Celular Ataque 3 ๏ Usuário acessa site falso e informa suas credencias ๏ Em seguida o site falso informa que ele deve “sincronizar” o celular e instala malware Atacante agora controla PC e celular Internet + Ligação p/ usuário Microfone a ir e c n a n fi o ã ç a Trans e L ra a p o ã ç iga t n e i o cl Ligação Reversa ๏ ๏ Gravador (captura de credenciais) Redirecionamento de chamada Man in the Browser Credenciais Credenciais Transação A Transação A Método de autenticação Transação B Transação B Redirecionamento de chamada Redirecionamento de chamada Redirecionamento de chamada et n r Inte z Vo Redirecionamento de chamada Redirecionamento de chamada 2G Redirecionamento de chamada In te In ter n et rn et Vo z Vo z I et n r nte z Vo Redirecionamento de chamada In ter n et Vo z Vo z I et n r nte z Vo Redirecionamento de chamada Redirecionamento de chamada Autenticação baseada em 2 fatores Nelson Murilo