Bancos brasileños bajo amenaza
Un estudio reciente de McAfee Brasil estudia con detalles los métodos de los denominados "PWS Bankers" o ladrones de contraseñas que combinan técnicas de ingeniería social y malware para lograr sus objetivos.
Pedro Bueno y Patricia Ammirabile (McAfee Brasil)
|
Según la federación de bancos brasileños, Febraban, “Aunque a los bancos brasileños les preocupa el nuevo escenario de fraude/pirateo online, son conscientes de que en lo que se refiere a innovaciones tecnológicas no hay vuelta atrás, por dos razones: las ventajas evidentes que proporcionan a los clientes, que ganan tiempo y comodidad en las transacciones que realizan a cualquier lugar, en cualquier momento, y los claros
beneficios netos que aportan los nuevos canales al sistema financiero brasileño.
Es por este motivo por lo que las inversiones en mejoras de la tecnología bancaria son tan significativas: 4.200 millones de reales [2.300 millones de dólares] en 2003 y
6.000 millones de reales [3.300 millones de dólares] en 2006.”
Como resultado de estas acciones, hoy día Brasil cuenta con uno de los sistemas de banca online más eficaces y seguros. Casi el 100% de los sitios de bancos en Internet utilizan HTTPS y dos números PIN (uno para iniciar una sesión en el sistema y otro para confirmar cada operación). Algunos bancos han recurrido igualmente a un “vale papel” y a una contraseña de uso único pare reforzar la seguridad.
Para comprender cómo PWS-Bankers consigue sortear estas medidas de seguridad, debemos entender primero cómo funciona el sistema de la banca a través de Internet.
Estos son los pasos básicos que sigue un usuario para conectarse a un banco en Brasil:
• Abre el sitio HTTP del banco
• Inserta los números de la sucursal y la cuenta
• Se le redirige a un sitio HTTPS
• Introduce el número PIN de Internet (o el número de vale)
• Inicia una transacción, por ejemplo, una transferencia de dinero
• Introduce el número PIN/vale del banco para confirmar la operación
¿Cómo funciona PWS-Bankers?
Uno de los factores que ha contribuido al aumento del número de fraudes online es el hecho de que los mensajes que se envían a los usuarios son cada vez más sofisticados. Han evolucionado enormemente desde que aparecieron los primeros mensajes de phishing, que a menudo contenían errores gramaticales y tipográficos, así como de contenido inadecuado.
Para atraer a los usuarios, los últimos fraudes utilizan imágenes que parecen auténticas con gráficos de alta calidad; los responsables del ataque de phishing envían también copias casi exactas de otros textos que emplean las empresas correspondientes.
Las herramientas de ataque se pueden obtener incluso en el mercado clandestino en línea, lo que permite a los conocidos como “lamers” (expresión que hace referencia a piratas que sólo cuentan con habilidades técnicas básicas) participar en fraudes online.
Los asuntos de los mensajes de phishing que llegan al buzón de las víctimas son de lo más variado:
• Pedidos falsos de tiendas en línea brasileñas conocidas
• Tarjetas de felicitación falsas
• Vídeos o fotografías con contenido sexual falsos de personajes famosos
• Software fiscal falso
• Informes sobre elecciones falsos
• Imágenes de accidentes de coche/avión falsas
Actualización rápida de PWS-Bankers
El 16 de junio de 2007, la corporación bancaria Banco do Brasil publicó su nuevo sitio Web con un diseño totalmente actualizado. Banco do Brasil es uno de los principales objetivos de los ataques en este país y la mayoría de los PWS-Bankers tienen ya una copia del diseño de la Web antigua del banco en sus bases de datos de bancos falsos.
En sólo unos días descubrimos un repositorio de código fuente de PWS-Bankers y miles de archivos destinados a los bancos brasileños. Hubo uno que captó mi atención especialmente; se llamaba “New Banco do Brasil Screen.jpg” (Nueva pantalla del Banco do Brasil.jpg).
Este archivo con fecha del 21 de junio mostraba la flamante pantalla de introducción de la contraseña del nuevo sitio Web del Banco do Brasil. Suponiendo que las fechas sean correctas, en menos de cinco días, los malhechores consiguieron tener operativo un troyano PWS-Banker listo para hacerse pasar por el nuevo sitio Web del banco.
Los mensajes contienen vínculos que incitan a las víctimas a
descargar PWS-Bankers.dldr, que son los programas de descarga
de PWS-Bankers. Los diseñadores de malware utilizan estos
archivos de descarga, de aproximadamente 45 KB, de forma muy
suspicaz para no levantar sospechas entre los usuarios. Una vez
en el equipo del usuario, las pequeñas aplicaciones descargan
sigilosamente el PWS-Banker real, aproximadamente de 1 a 4 MB,
en segundo plano.
Una vez instalado, PWS-Banker envía a su autor un mensaje en segundo plano para confirmar que se ha infectado otro equipo. El pirata obtiene la siguiente información:
Computer Name: MACHINE-SVR
Computer User: Administrator
IP: 192.168.241.100
Date: 9/6/2007 Hour: 7:19:03 AM
Windows: Microsoft Windows XP (Version 5.1)
Mac Address: 00-0C-29-3C-C7-A1
IE-Version: 6.0IE-Version: 6.0.2600.0000
Windows Key: xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
PWS-Banker permanece residente en memoria, supervisando los sitios Web a los que accede el usuario. El malware normalmente tiene una lista de cinco a ocho bancos a los que dirigir sus ataques.
Cuando advierte que el usuario solicita la URL de uno de estos
bancos, muestra una ventana emergente falsa que emula el sitio
del banco.
La mayoría de los bancos en Brasil solicitan el número de cuenta, el
número de sucursal y el PIN de Internet para que el usuario pueda
iniciar una sesión.
El troyano pedirá además otra información: el
PIN del banco, el número de la tarjeta de crédito, con el código de
verificación y la fecha de caducidad, entre otros datos.
Una vez que el malware dispone de esta información, muestra
un mensaje de error y redirige al usuario a la página real del
banco en Internet, mientras envía un mensaje al pirata con toda
la información:
• Nombre de la cuenta
• Número de cuenta
• PIN para Internet
• PIN del banco
• Contraseña
• Nombre del titular de la cuenta
• Número de la tarjeta de crédito
• PIN de la tarjeta de crédito
• Fecha de la tarjeta de crédito
• Fecha de caducidad de la tarjeta de crédito
• Nombre del padre (para la autenticación positiva)
Conclusión
A pesar del aumento del phishing y los troyanos que roban contraseñas, los brasileños disfrutan de una protección razonable en las operaciones en la banca online. Sin embargo, la lucha contra el malware continúa. Nosotros podemos ofrecer algunos consejos que pueden ser de utilidad tanto a usuarios como a bancos. Para los bancos, estos métodos pasan por establecer directivas para el uso del correo electrónico y la Web, e implementar un software de seguridad efectivo. Los usuarios particulares, por su parte, deben usar software para bloquear el spam, el spyware y los datos salientes a sitios malintencionados.
No tema pecar de desconfiado: si duda sobre la legitimidad de un mensaje, llame a la institución que supuestamente lo envía para verificar su autenticidad.
Los esfuerzos coordinados de instituciones financieras, la policía federal, las empresas de software de seguridad, así como el hecho de que el usuario final esté informado, dan sus frutos en cuanto a contención y disminución de la gran cantidad de actividades delictivas que tienen por objetivo la banca online.