Raúl Diaz ParraCISM, CEH, CHFI, ECSA, ISF ISO/IEC 27002, CEI
www.rauldiazparra.com
Ciberdelitos contra la Banca
Conceptos Previos
2
Man-in-the-middle (MITM)Intercepta las comunicaciones entre dos sistemas. Por ejemplo, en una transacción HTTP el objetivo es la conexión TCP entre el cliente y servidor. El atacante divide la conexión TCP original en 2 nuevas conexiones, una entre el cliente y el atacante y el otro entre el atacante y el servidor. Una vez que la conexión TCP es interceptado, el atacante actúa como proxy pudiendo leer, insertar y modificar los datos en la comunicación interceptada.
Conceptos Previos
3
Man-in-the-browser (MITB)Tiene mismo enfoque que el Man-in-the-middle, pero en este caso se utiliza un troyano para interceptar y manipular las llamadas entre el ejecutable de la aplicación (por ejemplo: el navegador o browser) y sus librerías.
Objetivo de MITB
4
Causar el fraude financiero mediante la manipulación de las transacciones de los sistemas de Banca por Internet, incluso cuando se cuentan con otros factores de autenticación (token).
Anatomía de Ataque a transacciones bancarias
5
El computador es infectado con un Troyano previamente. El troyano utiliza la técnica MITB para actuar como proxy entre el
navegador y sus librerías para modificar las transacciones que se inician en él.
El explorador sigue mostrando las transacción originales del usuario sin que se de cuenta del fraude que se va a generar.
La presencia de SSL ni autenticación de doble factor importan para este tipo de ataque, ya que la generación de la transacción es legítima.
Uno de los troyanos más peligrosos de este tipo de ataques es ZEUS Trojan
Zeus Control Panel
6
Backdoor Sofisticado
7
Lista de Comandos
8
Escenario de Ataque
9
El usuario quiere transferir 5000 USD de la cuenta “A” a la cuenta “B”
El troyano altera la solicitud para modificarlo a una cantidad diferente y cuenta diferente.
Escenario de Ataque
10
La aplicación bancaria solicita al usuario para confirmar la transacción después de validarla.
El troyano altera la respuesta del banco y refleja los detalles originales, aparecen los datos legítimos al usuario final quien confirma la transacción.
Noticias de Robos en el Perúvan en aumento
11
Ciberdelitos Bancarios en el Perú
12
Según DIVINDAT se reportaron 420 denuncias en el 2010 y 800 denuncias en el 2011
Según ASBANC el monto robado por esta modalidad en el 2010 y 2011 asciende a 4'862,000 nuevos soles y 208,000 USD
Países objetivo de ciberataques
13
Fuente RSA
Contacto
Correo: [email protected], [email protected]
Twitter: @rauldiazpLinkedin:
http://pe.linkedin.com/in/rauldiazparraCel: 994521461