Seguridad Lógica y Ataques Recientes en ATM’s

noviembre 12, 2013 § Deja un comentario

En el mes de Septiembre Jhon Jairo Hernández Hernández (aka Dinosaurio) ha sido contactado por la Dirección de Operación Bancaria para brindar una conferencia en el marco del “VII CONGRESO DE PREVENCION DEL FRAUDE Y SEGURIDAD” y en este caso se ha explayado sobre sus investigaciones forenses encaminadas a resolver fraudes bancarios.

Fuente: Blog de Dinosaurio

Anuncios

10 Claves para evitar ser víctima de un robo a su cuenta bancaria

octubre 16, 2013 § Deja un comentario

Las tecnologías cambian, pero los cibercriminales encuentran la manera de robar credenciales bancarias de los usuarios, ya sea a través de campañas de phishing, SMS o por teléfono. Sin embargo, hay formas de prevenirlo.

La clave es reconocer cuándo el comportamiento de una institución no es el esperable o correcto. Con ese fin, ESET presenta 10 acciones que un banco nunca llevará a cabo, a diferencia de un ciberatacante:

1. Mandar un SMS pidiendo detalles para confirmar si se trata del cliente correcto. Si bien puede suceder que un banco mande mensajes de texto, por ejemplo para confirmar una transacción hecha desde una computadora, nunca solicitará contraseñas ni información personal a través de ese medio. Ante la sospecha de un posible intento de engaño, se recomienda no hacer clic en enlaces ni llamar a los teléfonos indicados.

LA NUEVA TÉCNICA DE CIBERATAQUE A LAS COMPAÑÍAS

2. Decir que en 24 horas se cerrará la cuenta a menos que se tome una acción. Muchos mensajes legítimos de un banco son marcados como “urgentes”, particularmente aquellos relacionados a la sospecha de un fraude. Pero cualquiera que contenga un plazo estimado para realizar una acción debe ser leído con cautela. Los cibercriminales necesitan ser rápidos, ya que sus sitios se pueden bloquear o cerrar al ser descubiertos, por lo que necesitan que el usuario haga clic sin pensar. En cambio, los bancos sólo quieren ponerse en contacto con el cliente, y generalmente no ponen plazos tan firmes.

¿ES USTED UN CIBERCRIMINAL ENCUBIERTO Y NO SE HA DADO CUENTA?

3. Mandar un link a una “nueva versión” de la aplicación para home ranking. Los bancos no distribuyen aplicaciones de esta manera, y siempre pueden ser descargadas desde las tiendas oficiales. Por ejemplo, el troyano bancario llamado Hesperbot descubierto recientemente por ESET, usa un sitio falso para que los usuarios ingresen su número de celular y se instale una aplicación maliciosa que traspasa los sistemas de seguridad.

SEGURIDAD: EL MAL USO DE RECURSOS AMENAZA A LA RED CORPORATIVA

4. Usar acortadores de enlaces en un email. Los cibercriminales utilizan una variedad de trucos para que un sitio malicioso parezca “real” en un email que pretende ser de una entidad bancaria. Uno de los más clásicos es el uso de acortadores de enlaces. Por tal motivo, ESET recomienda no hacer clic en links acortados, ya sean provenientes de un email o de un SMS. En cambio, se debe ir al sitio web legítimo del banco directamente desde el navegador.

5. Mandar un servicio postal a retirar una tarjeta de crédito. Una nueva forma de estafa que consiste en decir que un servicio postal pasará a retirar la tarjeta de crédito “defectuosa”, para lo cual se pedirá el número de PIN como confirmación. La forma legítima de reemplazar una tarjeta es instruir al usuario para destruirla, y enviarle una nueva por correo.

6. Llamar al teléfono fijo y pedir que el cliente vuelva a llamar para confirmar que es el banco. Esta es otra nueva forma de engaño, que consiste en llamar al cliente para avisarle que se han detectado transacciones fraudulentas en la cuenta. Los cibercriminales intentarán probar la legitimidad cortando la comunicación y pidiéndole al usuario que llame nuevamente al número oficial de la entidad bancaria. Pero en realidad reproducen un sonido de marcado, y cuando el cliente disca el número, se comunica con la misma persona, que pasará a pedir detalles de la tarjeta de crédito y contraseñas.

7. Mandar un email a una nueva dirección sin avisar. Si el banco se contacta con el usuario a una cuenta diferente a la brindada anteriormente, se debe tener en cuenta la posibilidad de que sea un intento de engaño. Lo recomendable es tener una cuenta de correo destinada solamente a las comunicaciones con la entidad, y no publicarla en ningún lado, de manera que sea altamente probable que los mails recibidos allí sean realmente del banco.

8. Usar un sitio web no seguro. Un sitio legítimo correspondiente a una entidad bancaria debe mostrar el típico candado en la barra de direcciones, que significa que es un sitio seguro.

9. Solicitar la desactivación de la solución de seguridad. Un banco no solicitará deshabilitar el software de seguridad para ingresar a su plataforma o realizar alguna transacción. En caso de que esto suceda, se recomienda comunicarse inmediatamente con la entidad financiera para verificar el comportamiento sospechoso.

10. Mandar un mensaje con una dirección en blanco. Cualquier mensaje proveniente de un banco debe estar dirigido a quien corresponde, tanto en el cuerpo como en el encabezado. Es importante chequear que el email esté destinado a la dirección de correo del cliente, y no a algo genérico como “Lista de clientes”.

Autor: EQUIPO MÉXICO
Fuente: CIO América Latina

Análisis de troyanos y #Phishing a Bancos Credicoop, Supervielle, ICBC/HSCB, BBVA Frances y Standardbank

mayo 22, 2013 § 6 comentarios

Entre las 08:30 y las 14:34 del día de hoy hemos recibido decenas de denuncias a Segu-Info sobre correos electrónicos enviados desde cuentas de usuarios normales y con diversos asuntos referidos a supuestas fotos que involucra a los receptores del correo.

Todos los correos tienen enlaces a archivos ZIP y EXE dañinos que una vez descargados infectarán a los usuarios que los abran y posteriormente robaran datos bancarios de Banco Credicoop, Supervielle, ICBC/HSCB, BBVA Frances y Standardbank.

Los asunto de los correos pueden ser algunos de los siguientees:

  • RV: Denuncia a su empresa
  • Fwd: Mira como quedaron jajaja

En este caso se ha utilizado una técnica que desde Segu-Info hemos explicado varias veces y corresponde a la siguiente secuencia de hechos.

1. Un usuario de empresa se infecta y se roba su usuario y contraseña y a partir de este momento un delincuente tiene acceso a su cuenta de correo, que puede ser personal o empresarial (ver el listado al final del presente).

2. El delincuente accede a la cuenta de la persona y envía cientos de correos a sus contactos o a personas que el delincuente elija y cada uno de esos correos tiene con enlaces a descarga de otros malware bancario.
Los correos son como los siguientes y los enlaces aprovechan vulnerabilidades de Open Redirect que permite redireccionar una descarga a sitios previamente vulnerados.

Ejemplo de correo 1:

Ejemplo de correo 2:

Ejemplo de correo 3:

En este caso algunos de los enlaces han sido:

3. Cuando un usuario recibe uno de estos correos, descarga el archivo ZIP, lo descomprime y lo ejecuta en su sistema, pensado que se trata de una foto. Es importante destacar que si el usuario no hace eso, no resultará infectado. El archivo descargado “Fotos_Adobe_Illustrator-JPGs.exe” está comprimido con UPX y es detectado por muy pocos antivirus.
Si el usuario lo ejecuta, a partir de ese momento se encuentra infectado con un troyano que controla su equipo y descarga otros tipo de malware.

4. Este troyano descarga otro programa dañino Winzip2013.exe (también con baja tasa de detección) y lo ejecuta automáticamente. Los servidores desde donde se descarga este archivo corresponden a otros sitios previamente vulnerados por el delincuente:

Este troyano por su parte, controla el sistema del usuario y cada vez que ingrese a su Home-Banking, este programa robará los datos de acceso de los bancos mencionados al comienzo del presente.
El programa se copia en “C:\Documents and Settings\USUARIO\Local Settings\Application Data\Dtools.exe” y adicionalmente se agrega al inicio de Windows con el nombre “teclado.exe”, de forma tal de ejecutarse con cada inicio del sistema.

5. Este tipo de troyano conocido genéricamente como “Overlays”, sustituye la pantalla de ingreso del Home-Banking por una ventana propia, que en realidad es una imagen del banco real.

Por ejemplo en este caso, @Dkavalanche (gracias!) nos facilitó una captura en donde se ve superpuesta la pantalla de login real del banco Credicoop con la del troyano:

Aquí se aprecia otra captura del Banco Supervielle:

Otra del Banco BBVA Francés:

Y, una más de ICBC:

Es fácil notar que si el usuario no advierte el cambio de pantalla del banco real por la captura gráfica del troyano, estará ingresando sus datos de acceso en un formulario que será enviado a un sitio web controlado por el delincuente.
En este caso el sitio donde el atacante reciben los datos es http://www.ba%5BELIMINADO%5Dbowling.no/templates_c/cugar.php (XXX.188.130.110)

Finalmente, sólo mencionar que este caso es uno de cientos que aparecen día a día y la única herramienta capaz de detectar el engaño es nuestra educación al utilizar el correo electrónico.

Actualización: los dominios desde donde provienen los correos son los siguientes, todos ellos pertenecientes a empresas cuyos usuarios han sido comprometidos y en su mayoría de Argentina:

  • blancoamor.com
  • cylelectro.com.ar
  • digitalfueguina.com
  • estudiocaggiano.com.ar
  • facecolor.com.ar
  • gruporandazzo.com.ar
  • intlcargo.com.ar
  • maderasselectas.com.ar
  • mymcom.com.ar
  • naumcitroen.com.ar
  • ngstoresrl.com.ar
  • nuestroagro.com.ar
  • pantanetti.com (solucionado)
  • sistemailuminacion.com.ar
  • sportscomplement.com.ar
  • tealosophy.com
  • tswork.com.ar 

Desde Segu-Info ya nos hemos contactado con ellos para que solucionen el problema a la brevedad.

Cristian y Raul de la Redacción de Segu-Info

Publicada Comunicación BCRA "A" 5374

diciembre 12, 2012 § Deja un comentario

En el día de la fecha se ha publicado la nueva Comunicación BCRA “A” 5374 que desde el primero de marzo sustituirá a la actual Comunicación “A” 4609, Sección 6 sobre las normas sobre “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”.

La nueva Comunicación BCRA “A” 5374 ya puede ser descargada desde su sitio oficial de BCRA.

Cristian de la Redacción de Segu-Info

Condenan a banco por un fallo de seguridad y por la no detección de fraude

diciembre 1, 2012 § Deja un comentario

La justicia estadounidense ha dictaminado a favor de la empresa Patco Construction Company, después de que en 2009 le sustrajeran el dinero de su cuenta online en un banco de Maine por un problema de seguridad.

En el momento del hackeo la sucursal correspondía al conocido como Ocean Bank, que actualmente forma parte de la red del People’s United Bank, entidad financiera que tendrá que ahora hacer frente a la multa impuesta por el juez.

Según parece, en su ataque, los ciberdelincuentes emplearon malware para extraer con éxito más de medio millón de dólares de la cuenta de la constructora Patco.

Desde esa empresa expusieron que el Ocean Bank debería de haber detectado el fraude y haberlo paralizado, y también criticaron que la entidad bancaria no actuara de forma correcta en materia de seguridad, ya que carecía de un sistema de autenticación multifactorial.

Se da la circunstancia de que en julio del año pasado un tribunal dio la razón al banco pero no contentos con la sentencia, en Patco acudieron a un tribunal de Apelación, donde han acabado dándole la vuelta al caso.

Finalmente, el banco tendrá que reintegrar a Patco todo el dinero que perdió por culpa del fraude y un extra de 45.000 dólares en concepto de intereses y el pago de los costes del proceso legal.

Fuente: The Inquirer

Correos reclamando deudas vencidas descargan malware

noviembre 29, 2012 § Deja un comentario

Nuevamente tomamos conocimiento de una campaña de correos falsos que con un pretexto de cuestiones comerciales intenta conseguir que la víctima descargue supuestos documentos de deudas vencidas.
El correo dice lo siguiente:

Asunto: Vencimiento por favor regularizar
Nos ponemos en contacto con usted en referencia a la factura número 901/12.DOC y 901/13.DOC de fecha 5 de octubre del 2012, por importe de 450 pesos, con vencimiento el día 5 de noviembre
El motivo de la comunicación es que hasta la fecha no hemos recibido la confirmación del pago de la factura mencionada, por lo que le rogaríamos que efectuara el abono de la misma lo antes posible.
Puede ver los detalles de las mismas en los siguientes links (formato microsoft word .doc)
Si tiene cualquier duda al respecto puede ponerse en contacto con el Sr Alejandro Fernandez en el siguiente teléfono 4337-8712
Sin otro particular, aprovecho para enviarle un cordial saludo.
Alejandro Fernandez – Departamento de legales

Y se ve como en esta captura donde se destacan los enlaces que el atacante pretende que la víctima accione:

En este correo se incluyen varios enlaces como estos:

En estos se abusa de la vulnerabilidad de redirección abierta de dos sitios web con buena reputación, para redirigir a otros sitios con fallas de seguridad donde los delincuentes han “plantado” el archivo de malware, engañosamente con el nombre Ver_detalles_DOC.zip

Este archivo es un malware del tipo downloader apenas es detectado por 8 de 43 motores AV según informa VirusTotal.

Una vez descargado y ejecutado el downloader procederá a su vez a descargar en la PC un malware tipo screen overlay y los hace en este caso desde:

Este último malware (turbodriver.exe), solo identificado por 12 de 43 motores AV según VirusTotal, se ocupa de registrar y robar información (usuario, contraseña, tarjeta de coordenadas) de acceso a distintos sitios de banca electrónica argentinos:

  • Standard Bank
  • Macro
  • Supervielle
  • Banco Patagonia

Este malware bancario una de las cosas que hace es presentar formularios falsos en el navegador cuando uno ingresa al sitio web del banco.

Con estos formularios sobreimpresos (overlay) en la página web del banco, se solicitan datos que el banco no pide, tal como la tarjeta de coordenadas completa. Esta información luego es enviada al delincuente.

Al investigar los sitios de descarga del malware bancario, se encuentró que en uno de ellos se hallaba aún otro archivo ejecutable (knowbasems.exe) similar, detectado por 12 de 44 motores antivirus según VirusTotal, y que afecta a los bancos:

  • Standard Bank
  • Banco de Tucuman
  • Macro
  • Supervielle

Este último, de más de un mes de antigüedad, muestra que el dueño del sitio web abusado para su almacenamiento, un sitio web con problemas de seguridad, sigue sin corregir sus problemas y ni siquiera ha escaneado los archivos que tienen en su servidor.

Origen de los correos:
Nuevamente comprobamos, como vimos hace dos semanas, que estos correos han sido enviados desde dominios de correo de empresas u organizaciones en los que se ha comprometido de alguna manera el sistema de correo o algunas cuentas de usuarios. Estas son algunas:

  • @cmcserviciossrl.com.ar
  • @hotelastor.com.ar
  • @clubgodoycruz.com.ar
  • @encina.com.ar
  • @delfuturolibros.com.ar
  • @moduace.com.ar

Esto último sumado y la otras características descriptas de estos correos, le permiten al delincuente superar con facilidad muchos filtros de correo spam, alcanzando así a sus potenciales víctimas.

Desde Segu-Info hemos hecho las denuncias correspondientes. Comprobamos además que en sectores administrativos de empresas pueden caer fácilmente como víctimas de este tipo de correos engañosos.

Es importante trabajar en la concientización de las personas y enseñarles algunas directivas básicas, sencillas y sumamente efectivas como lo es la recomendación de no acceder a adjuntos ni enlaces no solicitados en correos, sin importar su origen.

Muchas gracias Ernesto por la investigación del malware y datos aportados!

Raúl de la Redacción de Segu-Info

1.000.000 de dólares robados en 60 segundos del Citi

noviembre 2, 2012 § Deja un comentario

El FBI arrestó a 14 personas por el robo de 1 millón de dólares del Citibank utilizando cajeros establecidos en diferentes casinos del sur de California y Nevada.
No es la primera vez que existe robo de dinero a partir de vulnerabilidades en un sistema bancario. Estas fallas, en muchos casos, permiten a los ciberdelincuentes extraer dinero de forma no legítima de la propia entidad financiera.

En este caso particular, las autoridades afirmaron que los sospechosos abrieron cuentas bancarias en la misma entidad previamente al robo. Posteriormente, fueron a distintos casinos en California y Nevada y retiraron el dinero en efectivo de los diferentes puestos tantas veces como pudieron durante un período de 60 segundos. Al parecer, alguien detectó una vulnerabilidad que impedía a la entidad bancaria registrar las extracciones adicionales de dinero que se produjeran en ese lapso.

El FBI en conjunto con otras autoridades arrestaron a 13 de los sospechosos en Los Ángeles durante esta semana. Aparentemente, los sospechosos utilizaron el dinero para jugar en los casinos y se les ofreció habitaciones de hotel debido al elevado monto que habían destinado al juego. Además, los delincuentes mantuvieron el monto de las extracciones por debajo de los 10.000 dólares para evitar los requerimientos federales de reportes de transacción.

Fuente: ESET Latinoamérica

¿Dónde estoy?

Actualmente estás explorando la categoría e-banking en Seguridad Informática.