El phishing tradicional, aquel que llega a través de e-mail y nos
invita a visitar una página web que imita a la original de la entidad
para que suministremos las claves de acceso, ya no es el principal
vector de ataque del fraude en Internet. El número de troyanos
bancarios supera en número y efectividad al phishing más conocido,
sin embargo no hay datos públicos sobre su actividad ni modus
operandi. A continuación mostraremos un vídeo de como actúa uno de
esos troyanos que lleva meses entre nosotros.
El phishing tradicional
El phishing tradicional es fácil de advertir, ya que es enviado de
forma masiva a nuestros buzones de correo, lo que facilita su
localización temprana y los avisos relativos a casos concretos.
A la parte pública, con iniciativas de información y alerta o las
recomendaciones de seguridad publicadas por las propias entidades
financieras, hay que sumar las acciones privadas entre entidades
y empresas de seguridad que permiten la detección de sitios
fraudulentos antes que sean conocidos. En estos últimos casos los
incidentes no suelen trascender, por lo que el número de ataques
phishing es mayor que el que pueda revelar cualquier estadística
pública.
Además de la detección, más o menos temprana, otro apartado importante
es el de la mitigación. El phishing tradicional ofrece oportunidades
al usuario para que pueda diferenciar el sitio original de uno
fraudulento, ya que hay elementos visibles que permiten su
identificación.
En la mayoría de los casos, el usuario podrá observar que la URL o
dirección que aparece en el navegador no corresponde con la de su
entidad, o que la conexión no es segura (no aparece el https ni el
candadito en el navegador). Y como medida preventiva, por activa
y por pasiva, se le está recomendando a los usuarios que deben hacer
caso omiso de los mensajes de correo electrónico que le piden que
introduzca su usuario y contraseña con cualquier excusa.
Las entidades y empresas de seguridad también tienen fácil prevenir
ciertas prácticas de phishing tradicional, mitigar la funcionalidad
de los que se detecten activos y cerrarlos de forma rápida.
Pese a que efectivamente el phishing tradicional es bastante
primitivo, no deja de ser un problema importante. Aunque el número
de incidentes reales es prácticamente un tema tabú, nunca se
ofrecerán datos de usuarios afectados o cantidades económicas
concretas, el hecho de que no decaigan los ataques es la mayor
constatación de que sigue siendo una actividad rentable para los
estafadores.
El problema no acaba en el fraude en sí mismo, a los ataques con
éxito que puedan darse hay que sumar la imagen negativa que afecta
a entidades con nombre propio y al canal en general, efecto colateral
que en ocasiones es más perjudicial para las entidades que el propio
fraude directo.
En este contexto, cuando aun no hemos superado el phishing tradicional
y los diferentes agentes implicados discuten sobre responsabilidades
o estrategias para luchar contra este tipo de estafas, existe una
evolución del phishing que es más desconocida y complicada de
prevenir.
Los troyanos bancarios
Aunque todo el mundo ha escuchado hablar de los troyanos bancarios,
no existen datos concretos sobre su proliferación ni sobre los métodos
que utilizan.
Por norma general los troyanos bancarios suelen asociarse a los
keyloggers, programan que capturan las pulsaciones de teclas cuando
introducimos nuestras claves. Incluso en círculos más especializados
se tiene esa errónea percepción, basta con observar como las propias
entidades implantan teclados virtuales en un intento de prevenir su
acción.
La realidad es que ya hace tiempo que la técnica tipo keylogger dejó
de ser la utilizada mayoritariamente por los troyanos bancarios,
precisamente por la proliferación de teclados virtuales. Hoy día los
troyanos bancarios capturan las contraseñas de manera independiente
a si se introducen las claves por el teclado real o por un teclado
virtual, por mucho que este último se mueva o cambie la posición de
las teclas.
A continuación vamos a mostrar un vídeo de un troyano bancario que
lleva a cabo su acción pese a que el usuario sigue recomendaciones
de seguridad tales como escribir directamente la dirección,
comprobar el https, o el certificado de la entidad.
http://www.hispasec.com/directorio/laboratorio/phishing/demo3/troyano_banesto.htm
No se trata de un troyano especialmente avanzado ni novedoso, lleva
meses actuando en España, protagonizando incidentes reales, y es
bien conocido entre las propias entidades y antivirus. Sin embargo
aparecen variantes a razón de una por semana prácticamente, todas
ellas enfocadas a varias entidades españolas e internacionales.
Lo más preocupante es que la evolución de este tipo de malware es
constante. En el Laboratorio de Hispasec llevamos tiempo viendo,
por ejemplo, troyanos que son efectivos contra el uso de certificados
en los clientes, tokens y claves de un sólo uso, diferentes
estrategias contra los sistemas de tarjetas de coordenadas, etc.
No estamos hablando de pruebas de concepto o troyanos de laboratorio,
sino de especímenes reales que llevan ya tiempo infectando los
sistemas y afectando a los usuarios.
De estos troyanos, sólo una pequeña parte es analizada, y un
porcentaje aun inferior de esos análisis llega a las entidades
afectadas.
En estos momentos los laboratorios de las empresas antivirus están
saturados por el volumen de malware en general que se produce,
de forma que sólo puntualmente ofrecen datos concretos
sobre algunos especímenes. No es un problema de los antivirus, es
que a día de hoy es materialmente imposible analizar y publicar
informes de todos los especímenes que aparecen.
Las entidades recurren a empresas de seguridad para que analicen
algunos sistemas de usuarios comprometidos, pero el número de
troyanos detectados con esta estrategia es ínfima, además de ser
un esquema reactivo, inefectivo, muy poco escalable y menos
rentable.
En VirusTotal estamos recibiendo más de 5.000 muestras
diarias para analizar de forma automática, aproximadamente un
30% de ellas están relacionadas con el crimeware. En Hispasec
analizamos «a mano» unos 90 troyanos bancarios diariamente, sólo
para detectar a que entidades afectan y a donde van a parar los
datos capturados.
El desconocimiento de este tipo de troyanos, las direcciones
concretan a las que apuntan, o los métodos generales que utilizan
para capturar las contraseñas, impiden a las entidades financieras
actuar tanto de forma reactiva como preventiva contra ellos.
El problema del phishing no acaba aquí, seguirá evolucionando,
lo que debe también evolucionar es la forma de abordarlo, ya que
en la actualidad no se está llevando a cabo de forma efectiva,
hay muchas áreas de oportunidad desaprovechadas.
Es fundamental que, ante la diversificación de las técnicas, exista
una cooperación real y que los agentes implicados superen sus
intereses particulares, de lo contrario nos seguirán ganando la
partida.
En estos momentos, desde el propio sector de la seguridad, hay
muchos intereses creados respecto a los sistemas de autenticación
empleados. Sin embargo, el talón de Aquiles y principal caballo de
batalla es y será la integridad del sistema del usuario.
En este terreno debemos sumar lo que tienen que ofrecernos (y
debemos exigirles) las casas antivirus, hoy por hoy cuentan con el
software de seguridad más implantado a nivel de usuario y con los
recursos humanos más especializados a nivel técnico. Sin embargo
suelen ser convidados de piedra en algunos grupos antiphishing.
Tampoco hay que olvidar la responsabilidad del sistema operativo o
del navegador, ya que muchos ataques aprovechan vulnerabilidades
o debilidades del software. Sumemos los ISPs, las fuerzas de
seguridad, legislación, iniciatias específicas desde la
administración pública, aportaciones de la comunidad académica,
asociaciones de usuarios…
Luchar contra el phishing y las estafas en Internet de forma
unilateral es condenarse al fracaso.
bernardo@hispasec.com
Más información:
Troyano bancario que inyecta código a la sesión https
http://blog.hispasec.com/laboratorio/135
VirusTotal
http://www.virustotal.com/
Antiphishing y Sistemas Antifraude
http://www.hispasec.com/corporate/antiphishing.html
Deja una respuesta