Troyanos bancarios y evolución del phishing

SeguridadVirus

El phishing tradicional, aquel que llega a través de e-mail y nos invita a visitar una página web que imita a la original de la entidad para que suministremos las claves de acceso, ya no es el principal vector de ataque del fraude en Internet.

El phishing tradicional

El número de troyanos bancarios supera en número y efectividad al phishing más conocido, sin embargo no hay datos públicos sobre su actividad ni modus operandi. A continuación mostraremos un vídeo de como actúa uno de esos troyanos que lleva meses entre nosotros.

El phishing tradicional es fácil de advertir, ya que es enviado de forma masiva a nuestros buzones de correo, lo que facilita su localización temprana y los avisos relativos a casos concretos.

A la parte pública, con iniciativas de información y alerta o las recomendaciones de seguridad publicadas por las propias entidades financieras, hay que sumar las acciones privadas entre entidades y empresas de seguridad que permiten la detección de sitios fraudulentos antes que sean conocidos. En estos últimos casos los incidentes no suelen trascender, por lo que el número de ataques phishing es mayor que el que pueda revelar cualquier estadística pública.

Además de la detección, más o menos temprana, otro apartado importante es el de la mitigación. El phishing tradicional ofrece oportunidades al usuario para que pueda diferenciar el sitio original de uno fraudulento, ya que hay elementos visibles que permiten su identificación.

En la mayoría de los casos, el usuario podrá observar que la URL o dirección que aparece en el navegador no corresponde con la de su entidad, o que la conexión no es segura (no aparece el https ni el candadito en el navegador). Y como medida preventiva, por activa y por pasiva, se le está recomendando a los usuarios que deben hacer caso omiso de los mensajes de correo electrónico que le piden que introduzca su usuario y contraseña con cualquier excusa.

Las entidades y empresas de seguridad también tienen fácil prevenir ciertas prácticas de phishing tradicional, mitigar la funcionalidad de los que se detecten activos y cerrarlos de forma rápida.

Pese a que efectivamente el phishing tradicional es bastante primitivo, no deja de ser un problema importante. Aunque el número de incidentes reales es prácticamente un tema tabú, nunca se ofrecerán datos de usuarios afectados o cantidades económicas concretas, el hecho de que no decaigan los ataques es la mayor constatación de que sigue siendo una actividad rentable para los estafadores.

El problema no acaba en el fraude en sí mismo, a los ataques con éxito que puedan darse hay que sumar la imagen negativa que afecta a entidades con nombre propio y al canal en general, efecto colateral que en ocasiones es más perjudicial para las entidades que el propio fraude directo.

En este contexto, cuando aun no hemos superado el phishing tradicional y los diferentes agentes implicados discuten sobre responsabilidades o estrategias para luchar contra este tipo de estafas, existe una evolución del phishing que es más desconocida y complicada de prevenir.

Los troyanos bancarios

Aunque todo el mundo ha escuchado hablar de los troyanos bancarios, no existen datos concretos sobre su proliferación ni sobre los métodos que utilizan.

Por norma general los troyanos bancarios suelen asociarse a los keyloggers, programan que capturan las pulsaciones de teclas cuando introducimos nuestras claves. Incluso en círculos más especializados se tiene esa errónea percepción, basta con observar como las propias entidades implantan teclados virtuales en un intento de prevenir su acción.

La realidad es que ya hace tiempo que la técnica tipo keylogger dejó de ser la utilizada mayoritariamente por los troyanos bancarios, precisamente por la proliferación de teclados virtuales. Hoy día los troyanos bancarios capturan las contraseñas de manera independiente a si se introducen las claves por el teclado real o por un teclado virtual, por mucho que este último se mueva o cambie la posición de las teclas.

A continuación vamos a mostrar un vídeo de un troyano bancario que lleva a cabo su acción pese a que el usuario sigue recomendaciones de seguridad tales como escribir directamente la dirección, comprobar el https, o el certificado de la entidad.

http://www.hispasec.com/directorio/laboratorio/phishing/demo3/troyano_banesto.htm

No se trata de un troyano especialmente avanzado ni novedoso, lleva meses actuando en España, protagonizando incidentes reales, y es bien conocido entre las propias entidades y antivirus. Sin embargo aparecen variantes a razón de una por semana prácticamente, todas ellas enfocadas a varias entidades españolas e internacionales.

Lo más preocupante es que la evolución de este tipo de malware es constante. En el Laboratorio de Hispasec llevamos tiempo viendo, por ejemplo, troyanos que son efectivos contra el uso de certificados en los clientes, tokens y claves de un sólo uso, diferentes estrategias contra los sistemas de tarjetas de coordenadas, etc.

No estamos hablando de pruebas de concepto o troyanos de laboratorio, sino de especímenes reales que llevan ya tiempo infectando los sistemas y afectando a los usuarios.

De estos troyanos, sólo una pequeña parte es analizada, y un porcentaje aun inferior de esos análisis llega a las entidades afectadas.

En estos momentos los laboratorios de las empresas antivirus están saturados por el volumen de malware en general que se produce, de forma que sólo puntualmente ofrecen datos concretos sobre algunos especímenes. No es un problema de los antivirus, es que a día de hoy es materialmente imposible analizar y publicar informes de todos los especímenes que aparecen.

Las entidades recurren a empresas de seguridad para que analicen algunos sistemas de usuarios comprometidos, pero el número de troyanos detectados con esta estrategia es ínfima, además de ser un esquema reactivo, inefectivo, muy poco escalable y menos rentable.

En VirusTotal estamos recibiendo más de 5.000 muestras diarias para analizar de forma automática, aproximadamente un 30% de ellas están relacionadas con el crimeware. En Hispasec analizamos “a mano” unos 90 troyanos bancarios diariamente, sólo para detectar a que entidades afectan y a donde van a parar los datos capturados.

El desconocimiento de este tipo de troyanos, las direcciones concretan a las que apuntan, o los métodos generales que utilizan para capturar las contraseñas, impiden a las entidades financieras actuar tanto de forma reactiva como preventiva contra ellos.

El problema del phishing no acaba aquí, seguirá evolucionando, lo que debe también evolucionar es la forma de abordarlo, ya que en la actualidad no se está llevando a cabo de forma efectiva, hay muchas áreas de oportunidad desaprovechadas.

Es fundamental que, ante la diversificación de las técnicas, exista una cooperación real y que los agentes implicados superen sus intereses particulares, de lo contrario nos seguirán ganando la partida.

En estos momentos, desde el propio sector de la seguridad, hay muchos intereses creados respecto a los sistemas de autenticación empleados. Sin embargo, el talón de Aquiles y principal caballo de batalla es y será la integridad del sistema del usuario.

En este terreno debemos sumar lo que tienen que ofrecernos (y debemos exigirles) las casas antivirus, hoy por hoy cuentan con el software de seguridad más implantado a nivel de usuario y con los recursos humanos más especializados a nivel técnico. Sin embargo suelen ser convidados de piedra en algunos grupos antiphishing.

Tampoco hay que olvidar la responsabilidad del sistema operativo o del navegador, ya que muchos ataques aprovechan vulnerabilidades o debilidades del software. Sumemos los ISPs, las fuerzas de seguridad, legislación, iniciativas específicas desde la administración pública, aportaciones de la comunidad académica, asociaciones de usuarios…

Luchar contra el phishing y las estafas en Internet de forma unilateral es condenarse al fracaso.

Leer la biografía del autor  Ocultar la biografía del autor