7 abr. 2017

Secuestro exprés a la red de un banco

La manera de hackear un banco no dista mucho del método antiguo para robar uno. Básicamente consiste en entrar, conseguir el botín y salir. Pero un grupo de delincuentes innovadores hackearon un banco brasileño de una manera más integral y tortuosa.

Una tarde de fin de semana redirigieron a todos los clientes online del banco a sitios perfectamente reconstruidos; empleando phishing lograron que los clientes entregaran toda su información sin ningún impedimento.

Investigadores de la empresa de seguridad Kaspersky describen este como un caso sin precedente de fraude bancario de grandes proporciones, en donde básicamente secuestraron todas las operaciones online de un banco.

A la 1pm del 22 de octubre del año pasado, según afirman los investigadores, los delincuentes cambiaron los registros de nombres de dominios del sistema de 36 propiedades online del banco. Tomaron el control de los sitios web de escritorio y móvil para poder redirigir a los cliente a sitios de phishing. En pocas palabras, los delincuentes robaron las credenciales de inicio de sesión en sitios alojados en direcciones legítimas del banco. Los investigadores creen que incluso lograron secuestrar cajeros automáticos y puntos de ventas, de esta manera recolectaron datos de tarjetas de cualquier persona que la utilizara ese día por la tarde.

Todas las operaciones en línea del banco estaban bajo el control de los atacantes, esto se mantuvo así por un lapso de 5 a 6 horas. Este investigador analizó el ataque en tiempo real, dado que el malware que afectaba a los clientes provenía de un dominio legítimo del banco: "todo el banco le pertenecía a los atacante durante ese lapso de tiempo".

DNS Stress

Kaspersky no revelando el nombre del banco que fue atacado con redirecciones de DNS, solo se limitó a decir que es una importante compañía financiera brasileña con operaciones en los EE.UU. y las Islas Caimán, 5 millones de clientes, y más de $27 mil millones de dólares en activos. Los investigadores dicen que este hecho debe servir como un ejemplo a los bancos de todo el mundo – quienes deben considerar que la inseguridad en sus DNS podría ser una pesadilla total. "Se trata de una amenaza conocida en internet", dice Bestúzhev. "Pero nunca habíamos visto que se explotara en una escala tan grande".

El sistema de nombres de dominio o DNS, sirve como un protocolo fundamental de internet: traduce los nombres de dominio en caracteres alfanuméricos (como Google.com) a direcciones IP como 74.125.236.195, que representan las ubicaciones reales de las computadoras en dónde están alojados los sitios web u otros servicios.

Pero los atacantes del banco brasileño explotaron el DNS de manera más centrada y con fines de lucro. Con el dominio secuestrado, cualquier persona que visitara la URL del sitio web del banco, era redirigida a sitios de aspecto similar. Esos sitios incluso tenían certificados HTTPS válidos emitidos con el nombre del banco.

El secuestro fue tan completo que el banco no era capaz de enviar correos electrónicos. "Ni siquiera podían comunicarse con los clientes para enviar una alerta". Aparte de la suplantación de identidad, los sitios falsificados también infectaban a las víctimas descargando malware que se disfrazaba como una actualización de seguridad para un complemento del navegador.

El troyano también incluía una función destinada a desactivar el software antivirus; para las víctimas infectadas, el ataque pudo haber ido más allá de las cinco horas que duró. Y partes del software malicioso incluía lengua portuguesa, dando a entender que los atacantes pueden haber sido brasileños.

Después de unas cinco horas, los investigadores de Kaspersky creen que el banco recuperó el control de sus dominios, probablemente llamando a las instituciones donde tenían sus registros y convenciéndoles de corregir los registros DNS.

¿Cuántos clientes del banco se vieron envueltos en el ataque DNS? Esto sigue siendo un misterio. Kaspersky dice que el banco no ha compartido esa información con la empresa de seguridad, ni ha revelado públicamente el ataque. Pero la empresa dice que es posible que los atacantes podrían haber recolectado cientos de miles o millones de datos de cuentas de los clientes, no sólo de su esquema de phishing y el malware, sino también de la redirección de cajeros y puntos de ventas.

La empresa a cargo del registro DNS del banco ha minimizado los datos proporcionados por Kaspersky. Negaron haber sido hackeados, pero si aceptaron haber sufrido algún tipo de ataque.

Kaspersky sostiene que para los bancos, el incidente debería servir como una clara advertencia para comprobar la seguridad de su DNS. Muchos bancos no gestionan sus propios DNS. Dejando esta labor en manos de terceros vulnerables.

Fuente: 1000Tips

4 comentarios:

  1. Anónimo8/4/17 01:20

    Itau? Estaría bueno algo de info de las fuentes regionales.

    ResponderEliminar
    Respuestas
    1. La pregunta es si se puede confiar en un banco que se calla y no dice nada sobre el robo de la información que afecta a sus clientes! Yo diría que NO! Mejor elegir otro banco!

      Eliminar
  2. Si logran explotar DNS y emitir certificados HTTPS válidos,caer en la trampa es casi inevitable.Pienso que una manera de probar si estamos frente a la web real del Banco, sería probar iniciar sesión al primer intento con un usuario y password inválidos y ver el mensaje q devuelve la web.Si no es el habitual mensajes que envía ante este tipo de error será mejor no seguir intentando. Suena paranoico pero sería una forma de chequear si estamos ante la web real del Banco o no.

    ResponderEliminar
    Respuestas
    1. No creo que sea algo inevitable, siempre que entres a la página de tu banco tienes que comprobar que el realidad la IP a la que te redirige el DNS es la correcta, oviamente si cambia es que algo podria estar mal y por consiguiente podrías relizar lo que dices: iniciar sesión con datos inválidos. Aunque un hacker podría poner que siempre salga usuario/password inválidos y que simplemente se guarden esos datos, así que en realidad no es un método muy efectivo.

      Eliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!