22 abr 2019

Digital Doppelgangers: "pedir prestada" otra identidad para robar bancos

El investigador de Kaspersky Lab Sergey Lozhkin ha descubierto una tienda en la Darknet llamada Genesis que se utiliza para vender máscaras digitales a los usuarios.

Una máscara es la huella digital de un usuario (su historial web, el sistema operativo y la información del navegador, como los complementos instalados y demás) e información sobre su comportamiento: qué hace online y cómo lo hace. 
Pero ¿por qué los cibercriminales venden las máscaras y qué relación tienen con el carding? Las máscaras digitales se utilizan en los sistemas antifraude para verificar a los usuarios. Si la máscara digital coincide con la que ha mostrado anteriormente el usuario, el sistema antifraude considerará que la actividad es legítima. Por tanto, en el caso de muchos bancos, ni siquiera requerirán un código 3D Secure por SMS ni notificarán al usuario para confirmar la transacción.

Por tanto, si un cibercriminal consiguiera robar tu máscara digital y tus credenciales de la banca online, el sistema antifraude pensará que eres tú y no disparará ninguna alarma. De esta forma, el atacante puede vaciar todo el dinero de tu cuenta sin ser detectado.

Este es el motivo por el que algunos cibercriminales extraen los datos de los dispositivos de los usuarios y los ponen a la venta en Genesis. Otros compran esta información, que puede costar entre 5 y 200 dólares estadounidenses, dependiendo de la cantidad de datos y de las credenciales incluidas, y la utilizan para hacerse pasar por el propietario de la máscara digital.

Para ello, utilizan un complemento de navegador gratuito desarrollado por las personas responsables de Genesis y llamado Genesis Security. Este complemento les permite utilizar la máscara digital para recrear la identidad virtual del usuario legítimo y, por consiguiente, engañar a los sistemas antifraude. En resumen, modifica los parámetros que analiza el sistema antifraude para que coincidan con los del dispositivo de la víctima y reproduce su comportamiento.

Recopilación de huellas digitales

Los propietarios de Genesis Store desean que el uso de perfiles robados sea lo más fácil posible, por lo que han desarrollado un complemento especial .crx para los navegadores basados en Chromium. El complemento permite instalar perfiles digitales robados en el propio navegador de los ciberdelincuentes con un solo clic para que se convierta en un Doppelganger de la víctima. Después de eso, el malo solo necesita conectarse a un servidor proxy con una dirección IP desde la ubicación de la víctima y puede pasar por alto los mecanismos de verificación de los sistemas antifraude, haciéndose pasar por un usuario legítimo.

Entonces, ¿dónde consiguen los cibercriminales de Genesis todos los datos que venden? La respuesta es simple, pero un tanto difusa: a partir de varios tipos de malware.

No todos los tipos de malware intentan cifrar tus datos para pedir un rescate o robar tu dinero nada más acceder a tu dispositivo. Otros permanecen en silencio, recopilando todos los datos a su alcance y elaborando esas máscaras digitales que posteriormente se venden en Genesis.

Fuente: Kaspersky

Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!