Escenarios de robo de credenciales y fraude online

En este artículo vamos a describir brevemente las estrategias de ataque que más frecuentemente se usan para el robo de datos personales de los usuarios de servicios online y la realización de transferencias fraudulentas de fondos.  El objetivo que perseguimos es difundir este conocimiento bajo el supuesto de que la probabilidad de éxito de este tipo de estratagemas es menor cuando los usuarios están bien informados y alerta. Procuraremos huir de tecnicismos y ser lo más didácticos posible para llegar al mayor número de personas.

PHISING

Es uno de los métodos de robo de datos online más frecuentemente usado y también de los menos sofisticados.

El método consiste en el envío masivo de correos electrónicos o SMS fraudulentos en los que el emisor enmascara su identidad real haciéndose pasar por una entidad en la que la víctima potencial confía (por ejemplo, una entidad financiera;  la policía o una red social).  Normalmente en estos mails se le pide a las víctimas que lleven a cabo alguna acción, siendo la más común que hagan clic en un enlace,  el cual les redirigirá a un formulario fraudulento en donde los defraudadores le requerirán que introduzca aquellos datos que quieren robar (ej: contraseñas de acceso a redes sociales, credenciales de acceso y operación de banca online o números de tarjeta de crédito).  En otras ocasiones lo que ocurre cuando se hace clic en el enlace del correo fraudulento es que el usuario descarga sin saberlo un programa  (troyano) que podrá espiar y robar de manera encubierta sus datos.

Desde el punto de vista de los defraudadores, la ventaja de este método radica en su sencillez, ya que solo requiere disponer de una lista de direcciones de correo de víctimas potenciales, un mecanismo que permita el envío masivo de los correos electrónicos  y  un servidor “pirata” en  Internet en el que alojar una página web falsificada desde donde recabar los datos o descargar los troyanos. La desventaja principal es que se trata de un método “ruidoso” que permite a los encargados de prevención del fraude la detección temprana del ataque y la gestión de acciones orientadas al desmantelamiento legal de los servidores “piratas” antes mencionados.  Esto inhabilitará el intento de fraude a menos que los defraudadores establezcan un mecanismo para habilitar nuevos servidores “piratas”, lo que ocurre con bastante frecuencia.

El siguiente diagrama muestra une escenario típico de robo de credenciales de acceso a banca online:

PISH_SMALL

1.       Los defraudadores envían correos electrónicos fraudulentos simulando contener una alerta de seguridad de una entidad bancaria.

2.       En el correo electrónico se hace creer a la víctima que hay un problema de seguridad con sus claves de acceso a la banca online y se le pide que haga clic en un enlace para verificar la seguridad y/o reactivar sus claves.

3.       Cuando la víctima hace clic en el hiperenlace, entonces es redirigido a una página web falsa en la que se solicitan todos los datos necesarios para realizar fraude (en el ejemplo mostrado, DNI, número de usuario, claves de acceso a la banca-online y de validación de operaciones, PIN de la tarjeta de crédito, y CVV de la tarjeta)

4.       Si la víctima no se da cuenta de que esta página es fraudulenta e introduce todos estos datos, cuando pulsa el botón “Aceptar”, los datos robados son enviados al servidor de los defraudadores.

El éxito de este tipo de engaños depende en gran medida de la verosimilitud del mensaje y de la calidad de las páginas falsificadas.  A continuación daremos algunas pistas que pueden ser usadas para detectar este tipo de fraudes:

  • Ninguna entidad financiera le requerirá a partir de un correo electrónico, SMS ni por ningún otro tipo de solicitud originada por el banco que introduzca todas sus credenciales de acceso.
  • Datos como el número de tarjeta, el CVV o el PIN de la tarjeta NUNCA deberían ser solicitados por un banco a partir de una acción iniciada desde un correo electrónico, SMS o una llamada telefónica iniciada pretendidamente por la entidad.
  • En muchas ocasiones, los correos electrónicos fraudulentos tienen faltas de ortografía o usan un lenguaje extraño, ya que los defraudadores no conocen bien el idioma de las víctimas potenciales.  No obstante, cada vez más los defraudadores cuidan este tipo  de detalles; por ello, es importante no olvidar el primer consejo de esta lista.
  • Si se analiza la dirección a donde redirige el hiperenlace del correo electrónico o SMS, se puede comprobar que la dirección de Internet no es una dirección legítima del banco.  En caso de duda, llame o contacte con su banco a partir de un número de contacto obtenido por una fuente fiable y trate de verificar si la dirección y el mensaje inicial son fraudulentos.

En la siguiente imagen que muestra un ejemplo de este tipo de fraudes, puede observarse que el lenguaje usado en la comunicación es un tanto sospechoso. Hay que tener en cuenta sin embargo, que este tipo de descuido por parte de los defraudadores es cada vez menos frecuentes:

Ejemplo_02

En el siguiente ejemplo puede observarse como el hiperenlace ACEPTAR redirige a una dirección de Internet que es “muy extraña” para ser una dirección legítima de un banco.  Además, el origen del correo electrónico proviene de un dominio distinto al del banco origen.  Nótese como al final del texto, en la NOTA, se trata de generar miedo en el usuario amenazándole:  “no podrás operar” sin “Instalar lo Sistema”…:

Ejemplo_01

En este otro ejemplo, el mensaje fraudulento ha sido enviado a un móvil con el propósito de robar datos de tarjeta. Vemos como usan la psicología para hacer que la víctima haga clic, anunciando a la víctima que su tarjeta bancaria ha sido bloqueada y que para desbloquearla tendrá que proporcionar algunos datos:

Ejemplo_SMS

Si usted ha sido víctima de un ataque como los descritos y ha introducido sus datos,  o simplemente ha pulsado en el hiperenlace debería, como medida de precaución:

  • Notificarlo a su entidad para que procedan a cancelar sus credenciales, tarjetas, etc y que le generen unas nuevas…
  • Consulte los movimientos de su  cuenta con regularidadpara verificar que no haya ningún movimiento sospechoso.
  • Compruebe que el ordenador, tableta o teléfono móvil desde donde fue engañado está libre de virus o troyanos y no opere desde ése dispositivo hasta que esté seguro de que está “limpio”.

ROBO DE CREDENCIALES MEDIANTE TROYANOS

Hemos visto que el phising es un método “ruidoso”, por los miles de mensajes fraudulentos que hay que enviar para cosechar algún beneficio. Esto hace que la vida útil de los sitios web fraudulentos sea imitada.  Un modus operandi que permite sortear estas dificultades  es infectar el dispositivo del usuario con un programa troyano que de manera sigilosa se encarga de “fabricar”, en el propio dispositivo de usuario, cuando este intenta conectarse a su banco,   una página falsa para requerirle los datos ue se pretenden robar.
Con este método (que técnicamente se conoce como inyección de código) se evita tener que suplantar la identidad del banco en un envío masivo de correos electrónicos y publicando en Internet una copia falsificada del sitio web del banco.  Además, como la página de robo de datos falsificada es construida en el propio dispositivo del usuario superponiéndose a la página legítima a la que la víctima está intentando conectarse, la dirección de Internet que se muestra en el navegador es la legítima con lo que la probabilidad de detectar el engaño se reduce todavía más.

El siguiente diagrama muestra une escenario típico de robo de credenciales de acceso a banca online, mediante un troyano que  inyecta una página falsa en el navegador de la víctima (se trata de un modelo conceptual idealizado, no una descripción técnica de un ataque concreto):

ASYNCH_SMALL

Una vez que el ordenador del usuario ha sido infectado con el troyano (lo cual se ha conseguido previamente mediante la descarga de algún programa “inocente”, haciendo clic en un hiperenlace en un correo en una red social, accediendo a alguna página web…), el programa malicioso aguarda silencioso hasta que el usuario inicia una conexión con su banco:

1.       Una vez que el usuario teclea la dirección de Internet de su banco, el troyano se activa e intercepta la petición de acceso generada en el navegador de Internet.

2.       En este momento, el troyano (malware) crea una página de entrada de datos falsa y hace que se muestre en el navegador. Esta manipulación es lo que se conoce como la “inyección de código”.

3.       El usuario creyendo que la página pertenece al sitio web legítimo de su entidad bancaria, introduce los datos solicitados.

4.       El malware intercepta los datos robados y los pone a disposición de los defraudadores quienes van recolectando los de distintas víctimas.

5.       Hecho esto, para no levantar sospechas y una vez que “agradece” la verificación de seguridad, el troyano redirige al usuario a su banco para que pueda operar con normalidad.

Como en el caso del phising, el éxito de este tipo de engaños depende en gran medida de la verosimilitud del mensaje y de la calidad de las páginas falsificadas. Algunas de las recomendaciones que hemos dado antes para identificar estas páginas falsas son de aplicación en este caso. Especialmente, recordar que datos como el número de tarjeta, el CVV o el PIN de la tarjeta NUNCA deberían ser solicitados por el banco en un formulario de este tipo durante el proceso de acceso a la web. Tampoco tiene ningún sentido que se soliciten todas las coordenadas de una tarjeta de coordenadas, como se muestra en el siguiente ejemplo:

Bancomer_01

SECUESTRO DE LOS MENSAJES AL TELÉFONO MÓVIL

Unos datos que últimamente se están intentando recolectar por los métodos descritos de robo de datos, son el modelo y número de móvil de la víctima,  con el objeto de enviarle un mensaje SMS fraudulento que servirá para infectar con otro troyano el móvil de la víctima. El objetivo es “secuestrar” los mensajes que recibe la víctima y re-enviarlos a los defraudadores. La víctima no es consciente de que ha recibido estos mensajes que normalmente son alertas o códigos que los bancos envían ante la realización de determinadas operaciones. De esta manera los defraudadores pueden ocultar al menos temporalmente sus actividades y/o hacer uso de los códigos de validación de operaciones que son enviados al móvil de la víctima.

El siguiente es un ejemplo de un engaño relacionado con la infección del móvil de la víctima:

Ejemplo_03

USO DE LOS DATOS ROBADOS

En todos los casos que hemos revisado, los defraudadores se las ingenian para hacerse pasar por una entidad legítima, engañar a las víctimas y así conseguir que éstas les proporcionen sus datos de acceso y operación. A partir de aquí, los defraudadores suelen vender estos datos a otras redes que harán uso de los datos para suplantar la identidad de las víctimas y realizar operaciones fraudulentas.

RECOMENDACIÓN

Si usted ha sido víctima o cree haberlo sido, de un ataque como los descritos y ha introducido sus datos o simplemente ha pulsado en el hiperenlace de una comunicación sospechosa, usted debería, como medida de precaución:

  • Notificarlo a su entidad para que procedan a cancelar sus credenciales, tarjetas, etc y que le generen unas nuevas…
  • Consulte regularmente  los movimientos de su  cuenta para verificar que no haya ningún movimiento sospechoso.
  • Compruebe que el ordenador, tableta o teléfono móvil desde donde fue engañado está libre de virus o troyanos y no opere desde ése dispositivo hasta que esté seguro de que está “limpio”.

ATAQUES SÍNCRONOS “MAN IN THE MIDDLE” MEDIANTE TROYANOS

En los escenarios que hemos revisado hasta ahora, los defraudadores usan técnicas de engaño (ingeniería social) para, haciéndose pasar por una entidad de confianza del usuario, conseguir que éste les facilite sus claves de acceso u operación. Con posterioridad, estas credenciales así robadas serán usadas por los mismos defraudadores u otras personas para suplantar la identidad de la víctima y realizar operaciones fraudulentas (ej: transferencias).  Dado que el fraude requiere primero del robo de credenciales y en un momento posterior el uso de las mismas, a estos escenarios se les conoce como fraudes asíncronos.

Aunque el uso de troyanos bancarios para inyectar pantallas falsas es un método menos “ruidoso” que el tradicional phising, sigue teniendo la desventaja de que puede resultar sospechoso para muchos usuarios y facilitar la detección y el bloqueo del ataque.

El escenario que vamos a revisar ahora parte de una premisa totalmente diferente, ya que no está orientado al robo de las credenciales del usuario, sino que se basa en la infección del dispositivo del usuario con un troyano que usa sofisticadas técnicas para, aprovechando una operación legítimamente iniciada por la víctima y, modificar de manera encubierta los datos de la operación sin que la víctima se dé cuenta y realizar así la operación fraudulenta.

El siguiente modelo describe de manera idealizada un ataque de este tipo:

Ataque síncrono: secuencia

1.       Una vez que el usuario se ha conectado y ha  introducido en la pantalla de la web bancaria los datos de la operación que quiere realizar y pulsa enviar…

2.       El mensaje que va a salir del navegador Internet es interceptado por el troyano (malware) antes de ser enviado por Internet al servidor del banco. En este momento, el troyano realiza, sin que el cliente se dé cuenta,  una manipulación fraudulenta de los datos de la operación. En la imagen se puede apreciar como el malware ha modificado la cuenta de destino y el importe de la operación. Una vez que la manipulación ha sido realizada, la operación es enviada por Internet al servidor de la entidad bancaria.

3.       Una vez la operación ha sido registrada en los sistemas del banco, el servidor de la entidad envía un mensaje al ordenador del cliente pidiéndole confirmación de los datos de la operación.

4.       En este momento, antes de que la petición de confirmación sea visualizada por la víctima, lo que le permitiría comprobar que la cuenta de destino y el importe de la operación son distintos a los que él había tecleado en el paso1, el troyano intercepta  la respuesta del servidor  y la modifica (haciendo una inyección de código) para que la página de confirmación que muestre los datos de la operación original, evitando que la víctima se dé cuenta del engaño. De esta manera la víctima procederá a confirmar la operación. El cliente en realidad estaría autorizando una operación distinta a la pretendida y el banco daría por buena una operación distinta a la original.

Un escenario como el descrito requiere de una alta sofisticación técnica, pero como puede comprobarse,  es un método muy eficaz que sortea  los sistemas más comunes de autenticación  usados actualmente por las entidades. Sin embargo, hay que añadir que existen sistemas que  permiten detectar y bloquear este tipo de ataques y que estos métodos  son adoptados por las entidades  financieras allí donde este tipo de ataques empieza a ser un problema.

EPÍLOGO

Esperamos haber cubierto nuestro objetivo inicial de ser didácticos y describir los métodos más comunes de ataque. La idea es que esta información pueda ayudar a los lectores a detectar intentos de fraude similares. Para finalizar, unas últimas recomendaciones:

  • Compruebe con regularidad los movimientos de sus cuentas bancarias.
  • En la medida de lo posible cambie las contraseñas de acceso u operación con cierta frecuencia.
  • Esté atento a los mensajes de alerta o informativos que su entidad financiera le envíe al móvil.
  • Contacte mediante un medio seguro con su entidad financiera, en caso de dudas.
  • No opere en banca online dese ordenadores o dispositivos sobre los que no tenga control de la seguridad (por ejemplo, no debería operar desde cibercafés o usando otros ordenadores de uso público).
  • Recuerde que ninguna entidad financiera le enviará correo electrónico o mensaje alguno para indicarle que de sus datos de acceso.
  • En especial, recuerde que datos como el número de tarjeta, el CVV, el PIN de la tarjeta o todas las coordenadas de una tarjeta de claves  NUNCA le serán  solicitados por un banco a partir de una acción iniciada desde un correo electrónico, SMS o una llamada telefónica iniciada pretendidamente por la entidad.
  • Mantenga su ordenador o dispositivo de acceso en buenas condiciones técnicas: antivirus actualizado y activo; sistema operativo actualizado y a ser posible un cortafuegos.
Anuncios

Un pensamiento en “Escenarios de robo de credenciales y fraude online

  1. Pingback: Ayudas para la elección de una estrategia efectiva de prevención del fraude online « Negocios bajo control

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s