Es que es relativamente "fácil" para un equipo profesional de "hackers" (para aficionados o un lobo solitario, sería imposible la hazaña) hacer phising en cualquier transacción por Internet, aunque haya "doble factor de autenticación" (2FA) si no existe al mismo tiempo "doble canal de autenticación".
Simplemente hace falta que te conectes a un punto de acceso wifi controlado por los hackers (por ejemplo, en un hotel o en una cafetería, etc.), y donde el DHCP del AP wifi te asigne unos servidores DNS controlados por los hackers. A partir de ese momento, cuando con el navegador web intentes acceder a www
.ing
.es ellos a nivel de DNS te redirigen a un servidor web controlado por ellos (posiblemente albergado en un
"cousin domain", es decir, protegido por HTTPS --para que no sospeches y para que tu navegador web no saque alertas de seguridad-- con un certicado SSL a nombre de ese "cousin domain") que imita en todo a la web oficial de ING-Direct. Esa web falsa intermedia captura en tiempo real los datos que introduces en ella para intentar loguearte en lo que erróneamente pensabas que era la web oficial de ING-Direct, incluyendo capturar cuando la introduces en la web falsa la clave que ING-Direct te envío por SMS como 2FA. Y pum, ya están dentro de tu cuenta de ING-Direct.
Si a continuación el hacker intenta transferir tu dinero a un banco en bielorrusia, y te saca en la web falsa que estás viendo una solicitud de la posición 23 de tu tarjeta de coordenadas, y tú como engañado que estás la metes en la web falsa que se te intenta hacer pasar por ING-Direct, adiós ahorros, hamijo.
Obviamente, este tipo de hackeo es difícil de hacer porque necesitas un equipo de gente profesional que sepa hacer una web imitando convincentemente en apariencia y funcionalidad a la zona de clientes de la web oficial de ING-Direct, y que sepa montar un AP wifi pirata con servidores DNS configurados al efecto, que sepa registrar un "cousin domain" apropiado y configurarle su SSL, y que monte una aplicación web en la web falsa que te pida en tiempo real la información que ellos necesitan introducir en la web real para acceder a tu cuenta, etc. Por ejemplo, un equipo de hackers como el descrito aquí rompiendo la 2FA de Google y Yahoo:
Iranian phishers bypass 2fa protections offered by Yahoo Mail and Gmail
Este tipo de hackeos no lo hacen niños ardilla ejecutando un script PHP en un VPS cutre de modo indiscriminado "a ver quién pica" (como sería el caso del bichito cryptolocker y demás), sino que son lo que se conoce como "
Advanced Persistent Threat" (APT) y se hacen enfocados contra una(s) persona(s) concreta(s) con nombre y apellidos, porque son muy costosos de llevar a cabo en términos de mano de obra altamente especializada y se intenta maximizar la probabilidad de éxito y que el éxito sea económicamente rentable.
Obviamente, si el usuario está atento a que no está yendo a un "cousin domain", no se la cuelan. Obviamente, el 80% de los usuarios son incapaces de detectar un "cousin domain".
Así que sí, contra ese escenario de ataque, una app en el móvil que estuviera pre-configurada para acceder sólo a la web oficial de ING-Direct sería un remedio (pues aunque el DNS falso del wifi pirata pudiera redirigirte las solicitudes del nombre www
.ing
.es a una web falsa, la verificación del certificado SSL de la misma fallaría --los hackers supuestamente no pueden obtener un certificado SSL para una web que no controlan realmente, aunque ha habido
casos de Autoridades Certificadoras que han emitido certificados SSL a hackers a nombre de por ejemplo "*.google.com"). Pero también sería remedio que el 2FA fuera un pincho USB con un certificado o el DNI-e en el PC del usuario.
Visto así, es más "usable" como 2FA una app de ING-Direct en el móvil que lidiar con el DNI-e conectado al ordenador.
