jueves, 9 de octubre de 2014

Las cuatro técnicas más usadas por el fraude bancario

Woody Allen se excusaba en la falta de comunicación de Dios en una de sus obras de la siguiente manera: “Si Dios tan solo me hiciera una simple señal…, ¡como hacer un ingreso a mi nombre en un banco!”. Desconocemos si sus rezos fueron escuchados, pero de lo que sí tenemos constancia es que sus súplicas son compartidas cada día por las que las bandas de cibercriminales hacen al sistema financiero de medio mundo.


La Universidad Central Europea difundía esta semana un extenso estudio sobre la evolución y estadística de brechas de seguridad que afectan a la privacidad de los ciudadanos europeos. Y nos encontramos con un Reino Unido que atesora nada más y nada menos que el 24% de ataques, seguido por Alemania, Grecia, Países Bajos y Noruega. Los mayores vectores, las propias compañías, con un 89% de registros históricos: Corporaciones, gobiernos y organizaciones siguen presentando un objetivo suculento para este oscuro mercado.

En el estudio no se habla de las razones, pero si así fuera, no hay duda que la diana de los cibercriminales está puesta en los bancos. Las sucursales bancarias reciben cada día miles y miles de ataques, y en este artículo queríamos recoger cuatro de las últimas noticias que sirven de apoyo para señalar las cuatro técnicas digitales habituales de fraude bancario.

La primera, involucra a los usuarios, y se aprovecha para ello de ataques a páginas webs legítimas. En este caso, uno de los múltiples grupos de sombrero negro rusos que pueblan el tercer entorno, compromete la seguridad de webs basadas en WordPress como cebo para un exploit kit que busca vulnerabilidades en los usuarios que acceden a estas páginas, instalando en segundo plano el malware (Qbot o Qakbot) que les permite robar credenciales de acceso a cuentas bancarias. El 52% de las víctimas (casi medio millón de ordenadores) utilizan Windows XP, un sistema operativo que recordemos ya no recibe soporte, y por tanto, representa un caldo de cultivo perfecto para ataques de diversa índole.

La segunda se basa en la generación de botnets de usuarios infectados. El grupo de espionaje Sednit, especialista (lamentablemente) en este tipo de atropellos, ha evolucionado su técnica, apoyándose en el valor de un nuevo exploit kit creado a medida que ya no solo redirige a la página fraudulenta parecida a la del propio banco, sino que mantener su persistencia en el sistema infectado (mayoritariamente Windows con navegador Internet Explorer) y puede tomar el control en remoto del procesador para futuros ataques de denegación de servicio, envío spam, mineo bitcoins,...

La tercera técnica, pasa por realizar un APT contra los propios cajeros. Es interesante este punto, ya que hasta hace relativamente poco tiempo no se había observado una proliferación semejante. Tyupkin es un malware diseñado específicamente para atacar cajeros automáticos de varias sucursales estadounidenses, europeas y asiáticas. Para instalarlo, primero los cibercriminales tienen que acceder físicamente al dispositivo (utilizando para ello ingeniería social), insertar un CD con el malware, y reiniciar el sistema. Una vez hecho, y en las franjas horarias que el malware está a la escucha (normalmente los domingos y lunes a altas horas de la madrugada), el ciberdelincuente envía un código al sistema, que procesa una transacción interna que le permite obtener hasta 40 billetes en apenas unos segundos, la cantidad que puede contener como máximo cada cartucho.

Y por último, un clásico entre los clásicos: las campañas de phishing. Cualquier noticia de última hora sirve para aprovechar la viralización de redes sociales o la inmediatez del email y redirigir a usuarios hacia contenido infectado. En algunos casos, la propia página fraudulenta. En otros, como el que nos compete, la descarga de un archivo (aparentemente .html, pero que en verdad) con el resumen del supuesto accidente de Dilma Rousseff, la actual presidenta de Brasil.

No es de extrañar, por tanto, que los grandes de internet (Facebook, Twitter y Google), junto con otros grandes del sector como Microsoft, se vayan a reunir en Luxemburgo con los altos cargos de la Unión Europea para debatir sobre las estrategias a seguir para minimizar el riesgo. Una cumbre que esperemos arroje más protección para nuestros datos, y sobre todo, para nuestras carteras.

0 comentarios:

Publicar un comentario