Ardid post-transacción borra en los resúmenes en línea la evidencia de robos
Muchos de nosotros tendemos a gastar un poco más de lo planeado en la temporada de fin de año, con gastos que sacuden nuestras cuentas, que pueden ser difíciles de hacerles el seguimiento. En las últimas semanas de 2011, hemos visto que los estafadores se aprovechan de esta tendencia con su última estrategia de fraude.
Antes de continuar, asegurémonos de estar al tanto de lo siguiente. Históricamente hemos visto que los ataques "man-in-the-browser" sucedían en una de las tres fases posible de la banca electrónica:
Los ataques post-transacción, como su nombre implica, sucede después que se realizó la acción maliciosa y el dueño de la cuenta cerró su sesión de banca o pago electrónico. Son diseñados para ocultar la actividad ilegal tanto como sea posible para permitir que la transferencia de dinero llegue a destino sin interrupción, o continuar con el control de la cuenta para realizar más transacciones.
El año pasado notamos una configuración de Zeus que apuntaba a algunos de los principales bancos del Reino Unido utilizando una interesante inyección en sistemas de web-mail populares. En ese momento, esta configuración estaba dirigida a ocultar mensajes de correo que tuvieran frases específicas que consideraba ser correos de confirmaciones de transferencias de dinero o pagos.
Justo antes de la temporada de las fiestas de fin de año, nos cruzamos con una configuración de SpyEye que ataca a bancos de EEUU y el Reino Unido. En lugar de interceptar, o desviar, los mensajes de correo el ataque manipula automáticamente la página que ven los clientes de los movimientos de sus transacciones del banco. El ataque se desarrolla en estas tres etapas:
Paso 1 - Ataque de malware post-login - Robo de credenciales:
a. El estafador infecta la máquina de la víctima con un malware MitB - hombre-en-el-navegador (cualquier malware MitB, ej. Zeus, SpyEye, Carberp), con una configuración apropiada.
b. Se configura el malware para pedir al cliente la información de la tarjeta de débito durante la fase de ingreso (inyección HTML) - ej.: nro de tarjeta, código de seguridad, fecha de vencimiento, etc.
Paso 2 - El estafador comete la acción fraudulenta:
c. Con los detalles de la tarjeta de débito del cliente, los ciber-criminales cometen el fraude de transacción sin tarjeta presente mediante la compra o transferencia de dinero telefónicamente o por Internet.
d. Los estafadores alimentan de inmediato al panel de control del malware con la información de la transacción fraudulenta.
Paso 3 - Ataque del malware post-transacción con fraude oculto en la visualización:
e. La próxima vez que la víctima visita su sitio de banca electrónica, el malware oculta ("reemplaza") las transacciones fraudulentas en la página de "visualizar transacciones", así como también cambiando artificialmente el total de la transacción fraudulenta en los totales. Como resultado, el cliente engañado no tiene idea que su cuenta ha sido 'capturada', ni que las transacciones fraudulentas han sucedido.
Por supuesto, su la víctima aun recibe resúmenes mediante correo, las transacciones eventualmente serán detectadas. Sin embargo, con tantos clientes alentados a pasarse al modo "sin papeles", podrían pasar muchos meses antes que la actividad fraudulenta fuera identificada.
Preveo que el uso de la tecnología de ataques post-transacción aumentará de forma significativa ya que permite a los criminales maximizar el monto del fraude que pueden cometer usando su inversión inicial en kits de malware y mecanismos de infección con un pequeño esfuerzo adicional ya que son baratos de comprar y fáciles de usar.
Como siempre, aconsejamos a los particulares instalar varias capas de seguridad en sus computadoras, con particular énfasis en la protección del navegador, para conseguir una banca electrónica segura.
Traducción: Raúl Batista - Segu-Info
Autor: Amit Klein
Fuente: Trusteer Blog
Antes de continuar, asegurémonos de estar al tanto de lo siguiente. Históricamente hemos visto que los ataques "man-in-the-browser" sucedían en una de las tres fases posible de la banca electrónica:
- Durante la fase de ‘login’ - con el propósito de capturar la credenciales de ingreso.
- En la fase posterior al ‘login’ – con inyección web usada como ingeniería social por ejemplo engañar a la víctima para proveer información personal o para descargar malware.
- Durante la transacción - manipulando la transacción a medida que sucede sin mostrarlo, típicamente cambiando los detalles del monto y el destinatario del pago
Los ataques post-transacción, como su nombre implica, sucede después que se realizó la acción maliciosa y el dueño de la cuenta cerró su sesión de banca o pago electrónico. Son diseñados para ocultar la actividad ilegal tanto como sea posible para permitir que la transferencia de dinero llegue a destino sin interrupción, o continuar con el control de la cuenta para realizar más transacciones.
El año pasado notamos una configuración de Zeus que apuntaba a algunos de los principales bancos del Reino Unido utilizando una interesante inyección en sistemas de web-mail populares. En ese momento, esta configuración estaba dirigida a ocultar mensajes de correo que tuvieran frases específicas que consideraba ser correos de confirmaciones de transferencias de dinero o pagos.
Justo antes de la temporada de las fiestas de fin de año, nos cruzamos con una configuración de SpyEye que ataca a bancos de EEUU y el Reino Unido. En lugar de interceptar, o desviar, los mensajes de correo el ataque manipula automáticamente la página que ven los clientes de los movimientos de sus transacciones del banco. El ataque se desarrolla en estas tres etapas:
- Primero se lanza un ataque man-in-the-browser en una sesión de banca electrónica y se captura la información de la tarjeta de débito.
- Luego la información de tarjeta de débito es usada para cometer el fraude.
- La próxima vez que el cliente ingrese en su sitio de banca electrónica se lanza un ataque post-transacción que oculta de la vista del cliente las transacciones fraudulentas.
Paso 1 - Ataque de malware post-login - Robo de credenciales:
a. El estafador infecta la máquina de la víctima con un malware MitB - hombre-en-el-navegador (cualquier malware MitB, ej. Zeus, SpyEye, Carberp), con una configuración apropiada.
b. Se configura el malware para pedir al cliente la información de la tarjeta de débito durante la fase de ingreso (inyección HTML) - ej.: nro de tarjeta, código de seguridad, fecha de vencimiento, etc.
Paso 2 - El estafador comete la acción fraudulenta:
c. Con los detalles de la tarjeta de débito del cliente, los ciber-criminales cometen el fraude de transacción sin tarjeta presente mediante la compra o transferencia de dinero telefónicamente o por Internet.
d. Los estafadores alimentan de inmediato al panel de control del malware con la información de la transacción fraudulenta.
Paso 3 - Ataque del malware post-transacción con fraude oculto en la visualización:
e. La próxima vez que la víctima visita su sitio de banca electrónica, el malware oculta ("reemplaza") las transacciones fraudulentas en la página de "visualizar transacciones", así como también cambiando artificialmente el total de la transacción fraudulenta en los totales. Como resultado, el cliente engañado no tiene idea que su cuenta ha sido 'capturada', ni que las transacciones fraudulentas han sucedido.
Por supuesto, su la víctima aun recibe resúmenes mediante correo, las transacciones eventualmente serán detectadas. Sin embargo, con tantos clientes alentados a pasarse al modo "sin papeles", podrían pasar muchos meses antes que la actividad fraudulenta fuera identificada.
Preveo que el uso de la tecnología de ataques post-transacción aumentará de forma significativa ya que permite a los criminales maximizar el monto del fraude que pueden cometer usando su inversión inicial en kits de malware y mecanismos de infección con un pequeño esfuerzo adicional ya que son baratos de comprar y fáciles de usar.
Como siempre, aconsejamos a los particulares instalar varias capas de seguridad en sus computadoras, con particular énfasis en la protección del navegador, para conseguir una banca electrónica segura.
Traducción: Raúl Batista - Segu-Info
Autor: Amit Klein
Fuente: Trusteer Blog
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!