TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

[Sector Financiero] Agujeros en la Seguridad Bancaria: Operación Emmental

Escrito por marketing on 8/08/14 14:00

La forma en que las cuentas bancarias On Line están protegidas hoy en día podría estar llena de agujeros. Desde su existencia  los bancos tratan de evitar que los delincuentes tengan acceso a las cuentas en línea. Formas de protección como Contraseñas, PINs, tarjetas de coordenadas, TANs, tokens de sesión fueron diseñadas para ayudar a prevenir los fraudes bancarios.
El equipo de Trend Labs encontró una operación criminal que tiene como objetivo derrotar a una de estas herramientas: tokens de sesión. El modo de operación en el que se basan para atacar inicia al  intentar dar en el blanco de los bancos que utilizan los tokens de sesión enviados a través de SMS (es decir, mensajes de texto). Este es un método de autenticación de dos factores, que utiliza los teléfonos de los usuarios como canal secundario. Tratando de iniciar sesión en el site de un banco, el mismo banco debería enviar a los usuarios un SMS con un número. Los usuarios tienen que introducir ese número, junto con su usuario y contraseña habituales con el fin de realizar transacciones con la entidad bancaria. Por defecto, este es utilizado por algunos bancos en Austria, Suecia, Suiza, y otros países europeos.
Los cibercriminales spamean a los usuarios desde esos países con correos electrónicos spoofing que parecen venir de minoristas on line, esperando que los usuarios hagan  clic en un enlace malicioso o en un archivo adjunto para infectar sus ordenadores con malware. Hasta ahora, todo esto parece ser “habitual” y desde una perspectiva de amenaza, pareciera aburrido. Lo interesante surge, cu
ando los equipos de los usuarios en realidad no se infectan, no con el malware bancario habitual. De hecho el malware sólo cambia la configuración de sus ordenadores y luego se elimina a sí mismo.
¿Qué te parece esto como infección indetectable? Los cambios parecieran insignificantes pero las consecuencias son muy grandes.
La forma en que funciona está basada en la configuración de los DNS de los ordenadores de los usuarios se cambia para que apunte a un servidor externo controlado por ciberdelincuentes. El malware instala un certificado raíz SSL en sus sistemas para que los servidores HTTPS maliciosos confíen y no vean ninguna advertencia de seguridad.
¿Qué sucede en el proceso de autenticación de 2 factores cuando el PC está infectado por la Operación Emmental? Cuando los usuarios con ordenadores infectados intentan acceder a la página web del banco, se dirigen a un site malicioso que se parece al de su banco. Hasta ahora, esto es sólo un sofisticado ataque de phishing, pero estos criminales son mucho más retorcidos que eso. Una vez que los usuarios introducen sus credenciales, se les indica que instalen una aplicación en su smartphone. Esta aplicación Android maliciosa está disfrazada de generador de tokens de sesión del banco. En realidad, interceptará mensajes SMS desde el banco y los remitirá a un servidor de comando y control (C & C) o a otro número de teléfono móvil. Lo que significa que el ciberdelincuente no sólo obtiene las credenciales de banca online de las víctimas a través de la página web de phishing, sino también las sesiones de tokens necesarias para operaciones bancarias en línea. Los delincuentes terminan con un control total de las cuentas bancarias de las víctimas. Esto es una gran operación de malware. Campañas de spam adaptadas al país, malware no persistente, servidores DNS maliciosos, páginas de phishing, malware para Android, servidores C & C y servidores back end. No se puede decir que estos criminales sean perezosos. Es un hecho que los criminales detrás de esta operación tienen como objetivo a los usuarios de Internet en Suiza, Austria y Suecia. En mayo, añadieron a los usuarios japoneses a su lista de potenciales víctimas. El equipo rastreó los operadores de vuelta mediante los apodos: FreeMan y Northwinds. Estos cibercriminales han estado activos desde 2011. En aquel entonces, expandían paquetes de malware como SpyEye y Hermes. En cuanto a los binarios que se desplegaron recientemente, creemos que los criminales hacen uso de al menos dos servicios de cifrado diferentes. Uno de estos servicios está dirigido por una persona de Uzbekistán. Puedes encontrar más información sobre este ataque en el informe
 Finding Holes: Operation Emmental http://ow.ly/A7oPh  que habla de esta técnica en profundidad. SWITCH.CH, el CERT de Universidades en Suiza, también realizó investigaciones sobre Emmental  y publicó sus conclusiones en su site. Es importante estar capacitados ante esta nueva ola de amenazas persistentes avanzadas,  si aún no tienes herramientas que te presenten evidencias ante estas nuevas problemáticas para cubrir las necesidades de tu negocio acércate 
a nuestros especialistas y conoce cómo  obtener los mejores beneficios para la infraestructura de tu negocio. #TuSeguridadInformaticaEsNuestraPasion Para más información visita trendmicro.es Marketing  

Topics: Lo más nuevo


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
CyberSecTrends2023
Smartekh Cloud Happy Hour
15-3
TikTok

¿Quieres hablar con un Consultor de Ciberseguridad?