Las 5 principales amenazas para los usuarios de banca online

banca_online1

En su empecinada búsqueda de ganancias económicas directas, los cibercriminales suelen atacar directamente a donde los usuarios manejan su dinero, es decir, sus cuentas bancarias. Con las posibilidades actuales para hacer todo tipo de transacciones por Internet, era inevitable que pusieran su atención en tratar de vulnerar estos servicios.

El abanico de amenazas que puede utilizar un atacante con este objetivo es bastante amplio: desde una sencilla campaña de correo electrónico que con un enlace que dirija a un sitio de phishing hasta diferentes familias de códigos maliciosos, con características particulares como el uso de Ingeniería Social, interceptación del tráfico de red o modificación del sistema, entre otras posibilidades.

Dentro de esta amplia variedad, los troyanos bancarios tienen un puesto principal por las facilidades que le ofrecen a un atacante, incluyendo algunas características muy particulares.

A continuación revisaremos el top 5 de amenazas dedicadas al robo de credenciales bancarias:

1.- La Ingeniería Social, punta de lanza

Cuando hablamos de códigos maliciosos del tipo troyano es inevitable no relacionarlos con técnicas de Ingeniería Social. En el caso de los troyanos bancarios, hay ciertas familias en particular que tienen una alta dosis.

La familia Win32/Spy.Bancos tiene la finalidad de robar credenciales bancarias de entidades financieras. Las variantes de esta familia son diferenciadas por los protocolos que utilizan para enviar los datos robados, como por ejemplo FTP o SMTP.

Cuando un usuario recibe una muestra de este tipo de código malicioso y lo ejecuta, se abrirá en su dispositivo una ventana muy similar a un navegador web en lo que simula ser la página de una entidad financiera.

Otras variantes de esta misma familia esperan a que el usuario abra un navegador y quiera entrar a una página legítima de un banco para abrir este falso navegador. En este caso este falso navegador no permite al usuario acceder a otras páginas web ni realizar otras actividades diferentes a introducir los datos en los falsos formularios.

banca_online2

2.- Modificaciones silenciosas del sistema

Hay otro tipo de amenazas bancarias que realizan cambios directamente sobre el sistema de manera “automática” cuando se inicia el ordenador. De esta manera, el código malicioso logra realizar los cambios necesarios en el sistema para lograr su objetivo. Si bien hace tiempo que los atacantes dejaron de lado este tipo de metodología para afectar a los usuarios, todavía se siguen viendo algunas detecciones de estos códigos maliciosos.

La familia de amenazas detectada por las soluciones de ESET como Win32/Qhost modifica el archivo hosts del sistema para realizar un ataque de pharming local, redirigiendo a la víctima a sitios de phishing. Cuando se ejecuta el troyano, se conecta a una dirección URL remota desde la que descarga un archivo de texto que reemplaza al archivo original, forzando al usuario al caer en un servidor falso la próxima vez que intente acceder a la banca electrónica.

Otra familia de códigos maliciosos que modifican directamente el comportamiento de las aplicaciones en el sistema es Win32/Spy.Banker. Este código malicioso, en lugar de modificar el archivo host, inyecta código de manera dinámica en determinadas páginas web. En el momento en que el usuario acceda a estas páginas, la información robada se envía a una dirección de correo electrónico con los datos del usuario.

3.- Troyanos para enmascarar la descarga de otras amenazas

Una de las características de los troyanos con mayor cantidad de detecciones actualmente es que no realizan la acción maliciosa directamente, sino que son utilizados para descargar al equipo de la víctima la amenaza que roba las credenciales bancarias o que intercepta los datos de las transacciones comerciales.

Una de las familias que tiene este comportamiento es  Win32/TrojanDownloader.Banload. Una vez que un usuario se ha infectado, realiza la descarga de otros códigos maliciosos que intentan robar las contraseñas de acceso a portales bancarios.

Este tipo de amenazas simulan ser diferentes tipos de archivos, como por ejemplo documentos de ofimática, archivos PDF o fotografías. Sin embargo, es común que tengan doble extensión (por lo general SCR o la menos común EXE) y como muchas veces en el sistema operativo viene desactivada la opción de ver las extensiones de los archivos, suelen pasar inadvertidas.

banca_online3

4.- Intercepción del tráfico de las transacciones

El objetivo de la familia de amenazas anterior es preparar el terreno para que se efectúe el robo de información del usuario, y así lograr que los cibercriminales obtengan datos de los usuarios. Hay otros troyanos que tienen esta misma característica, como por ejemplo la familia Win32/TrojanDownloader.Waski, utilizada para propagar otro troyano bancario detectado por las soluciones de ESET como Win32/Battdil.

Esta familia, también como conocida como Dyre, tiene la particularidad de vulnerar SSL haciéndole creer a los usuarios que están en un sitio web seguro y desviando todo el tráfico a servidores maliciosos para robar la información de la transacción.

5.- Amenazas bancarias en Android y Windows de 64bits

Si bien la gran mayoría de amenazas que tratan de comprometer las transacciones bancarias las encontramos para Windows, en los últimos años hemos detectado un incremento en la aparición de familias de malware bancario dirigidas a usuarios de Android, así como también las dirigidas a las últimas versiones de Windows.

Por ejemplo la familia Android/Spy.Banker busca robar credenciales bancarias. Cuando el usuario descarga este tipo de aplicaciones maliciosas, se solicitarán permisos de administrador y una vez que se activa, se elimina el ícono del menú principal y no permite que el usuario la pueda desinstalar.

Además, la próxima vez que el usuario intente abrir Google Play para realizar la búsqueda de material interactivo, aparecerá una pantalla pidiendo los datos de su tarjeta de crédito.

Por otra parte, en 2011 fue creada la firma para detectar aquellas variantes que afectan a sistemas operativos de 64 bits. Si bien los niveles de detección de la familia Win64/Spy.Banker no se compara con las detecciones de su similar en 32 bits, es de suponer que conforme se popularice el uso de los sistemas operativos de 64 bits, crezcan estas detecciones y además veamos la aparición de nuevas familias y variantes.

Bonus track: botnets con módulos para robo de información bancaria

Adicional a todas las amenazas anteriores, vale la pena mencionar a las botnets como otra amenaza que puede comprometer la información personal en las transacciones bancarias. Botnets como SpyEye y Zeus están diseñadas con módulos que permiten robar información bancaria.

Si bien este tipo de códigos maliciosos permiten a los atacantes llevar a cabo una gran cantidad de acciones sobre el equipo de la víctima, el robo de datos confidenciales de transacciones financieras es lo que más beneficio económico les puede generar.

Como hemos visto, las alternativas que tiene un atacante para comprometer la información bancaria de un usuario son varias. De ahí se desprende la necesidad de contar con una solución de seguridad que advierta cuando estamos frente a este tipo de amenazas.

Además, tal y como siempre decimos, esta protección debe complementarse con buenas prácticas al momento de estar navegando por Internet.

Josep Albors a partir de un post de Camilo Gutierrez en WeLiveSecurity

Naukas Bilbao 2015: el éxito de la divulgación científica