Una breve descripción de mi experiencia con #BBVA y por que no es nada segura.
#BBVANoEsSeguro
Abro hilo
#BBVANoEsSeguro
Abro hilo
INGENIERIA SOCIAL
Hace tres semanas fui al supermercado, al estar en cajas para pagar mis productos, note a una persona detras de mi, mas cerca de lo normal, pero simplemente usaba mucho su celular, como si estuviera escuchando audio de whatsapp….
Hace tres semanas fui al supermercado, al estar en cajas para pagar mis productos, note a una persona detras de mi, mas cerca de lo normal, pero simplemente usaba mucho su celular, como si estuviera escuchando audio de whatsapp….
En ese momento lo pase por alto, nada inusual.
Termine mis compras y sali del supermercado, el cual se encuentra dentro de una complejo comercial, por lo que enseguida fui a comprar un cafe antes irme a mi auto.
Sorpresa, una señora algo mayor se nos acerco un poco preocupada, me dijo que el señor que estaba detrás de mi en la fila del super, todo el tiempo estuvo grabando mis movimientos, en especial cuando pague y teclee mi nip…
Un poco después de eso, notamos que un par de personas sospechosas rondaban nuestro entorno, como esperando un descuido, pero ya estábamos alertas. Nos fuimos de prisa al auto, ya un poco asustados.
Estuve un par de noches repasando lo sucedido y tratando de comprender el por que grabaron todo lo que hacíamos.
CACERIA
CACERIA
Lei una anecdota de alguien que había sido “hackeado” casi después de estar en un centro comercial, le vaciaron la cuenta. después se dio cuenta que le robaron el celular, mientras comia en un restaurante de la misma plaza. Todo en 15 minutos.
Los centros comerciales y supermercados son lugares donde usamos sin ningún cuidado los celulares. ¿Cuantas veces al día desbloqueas tu celular? ¿Sabes si alguien de observa mientras tecleas el NIP de tu cel?
No se necesita una vista de águila para conocer el patron. Ese data input tan valioso esta a la vista de todos y mas en centros comerciales, cines, plazas, restaurantes. Nos confiamos mucho. por eso nos graban.
La red de delincuentes se encuentran cazando a sus víctimas en estos lugares concurridos, identificando patrones: Celular con fingerprint, celular con face ID, uso de banca, uso constante. Un dia de plaza observen cuantas personas se encuentran vulnerables al “hackeo”.
Modus Operandi
Hice un par de pruebas en mis dispositivos, con mi NIP, cambie el Face ID por la cara de mi esposa, despues le dije a mi esposa que entrara a la app de #BBVA y Oh! Sorpresa.
Hice un par de pruebas en mis dispositivos, con mi NIP, cambie el Face ID por la cara de mi esposa, despues le dije a mi esposa que entrara a la app de #BBVA y Oh! Sorpresa.
La app hace la petición de autentificacion al sistema, el sistema le dice: si la cara coincide ( cual? la del cliente o la nueva) a la app no le importa, simplemente valida una cara. La nueva persona entra a tu app, entra a todo, te chingan la lana.
Esto lo saben muy bien las ratas. Por eso el modus operandi:
Cazan a la posible victima, le hacen shadow en lugares donde la proximidad es normal y la visibilidad de tus patrones de desbloqueo son accesibles.
Por eso te graban, mientras simulan una llamada y tu pagando en la terminal del super… Te tienen, ahora solo necesitan tu dispositivo y te lo chingan con o sin violencia, un segundo de distracción y listo.
Con tu NIP o patron de desbloqueo, registran una nueva cara o un finger print. y listo. Adios ahorros, en especial los del BBVA que ya no tienen ni token, ni NIP de seguridad.
Fallas de seguridad u omisión de casos de uso y patrones.
La app es sumamente insegura por dos razones:
No valida si hay un cambio de rostro o finger print, simplemente valida el que es sistema dice OK
No tiene un candado mas como NIP o SuperToken privado.
No valida si hay un cambio de rostro o finger print, simplemente valida el que es sistema dice OK
No tiene un candado mas como NIP o SuperToken privado.
Un poco de ingeniería social y fallas de la app y miles de usuarios vulnerables seguirán viéndose afectados.
i, el UX de la app de BBVA es muy fácil de usar para todos, pero deja vulnerables a muchos usuarios que a diarios usan la app.
Sugerencia
No activen la autentificación bio metrica en BBVA.
Usen un folder con contraseña para ocultar sus apps bancarias.
Los quiero, adios
No activen la autentificación bio metrica en BBVA.
Usen un folder con contraseña para ocultar sus apps bancarias.
Los quiero, adios
• • •
Missing some Tweet in this thread? You can try to
force a refresh
