En los últimos años, he observado un aumento de la migración de las comunicaciones y negociaciones antes realizadas en persona o por teléfono a los canales digitales. Los clientes de hoy quieren comunicarse con las empresas e instituciones por teléfono o la tableta, y esperar de ellos una presencia digital que va más allá de la página web. En el ámbito financiero, de hacer las compras de los portales de eBay y Amazon y transferencias a través de PayPal para pagos y transacciones financieras para aplicaciones y sitios de banca, las posibilidades más en línea se ofrecen a los clientes, mayor es la necesidad de autenticación para protegerlos contra los ataques cibernéticos.
Hasta hace poco tiempo, una estrategia prudente de protección en respuesta al creciente número de incidentes de fraude fue reforzar el uso de contraseñas y nombres de usuario (que no están garantizados por la naturaleza), el envío de un SMS al usuario final que contiene un código de un solo uso para la verificación de las transacciones en línea. Resulta que esta táctica también terminó por convertirse en peligroso: los códigos de envió de mensajes de texto no siempre son encriptados y pueden ser interceptados. El código adicional se debe introducir en la misma página transaccional en el que el usuario ha introducido la contraseña y el nombre, pero si el dispositivo o la página en sí están infectados o comprometida por el malware, los defraudadores pueden capturar la OTP y entró datos de acceso, y cuenta de usuario estará a merced de los delincuentes.
A principios de este año, se encontró que una versión actualizada del software malicioso 'Android.Bankosy' estaba presente en una gran cantidad de teléfonos Android en la región de Asia Pacífico. Una vez instalado en el dispositivo de las víctimas, el malware abre una puerta trasera, recogiendo una gran cantidad de información específica del sistema telefónico y se envía a un servidor que recoge los datos robados y reveló los identificadores de dispositivos infectados. Todos los mensajes de programa SMS enviados al dispositivo, incluidos los mensajes que contienen códigos OTP podrían entonces ser capturados, lo que permite que el malware para transferir dinero de las cuentas de las víctimas cuyos datos de acceso también estaban comprometidos.