Protección de canales electrónicos

Transcripción

1 Protección de canales electrónicos EL PROBLEMA Los servidores de su banco están muy bien protegidos. Por esta razón, los criminales digitales de hoy han decidido atacar el único punto que su banco no puede controlar. El punto final. Cada día se conocen más casos de personas que han sido robadas digitalmente. Algunas son víctimas de algún tipo de engaño que las lleva a entregar sus credenciales, caso para el cual no existe una solución digital, mas sin embargo, cada vez es más común oír de casos de robo digital de credenciales de autenticación y datos de tarjetas de crédito entre otros, en los que los clientes solo se dan cuenta del robo cuando ya es demasiado tarde. La situación típica de un cliente de banco sería la siguiente. El cliente del banco tiene un dispositivo (PC de escritorio, LapTop, Tablet) en su casa en el cual descarga correo, oye música online, visita redes sociales, descarga archivos (películas, música, fotos, etc.). Las cosas normales que hace todo el mundo en Internet. En cualquiera de estos lugares el dispositivo puede contagiarse con código o programas maliciosos (Malware). Posteriormente este mismo cliente, desde el mismo dispositivo (ahora infectado) se conecta a la web transaccional del banco. Y el MALWARE que ya está activo en el dispositivo empieza a robar su información. Objetivamente este NO es un problema directo del banco. Es un problema del cliente. Sin embargo el efecto que este problema tiene es la resistencia a usar medios virtuales bancarios. Vale la pena aclarar que el malware puede robar TODOS los datos que el cliente transmite por Internet desde su dispositivo, los de correo, los de las redes sociales, los de programas de descargas, los datos corporativos (intranets) y también los datos de su acceso a la banca virtual. Sin embargo, aunque podríamos decir que, por ejemplo, que le roben las credenciales de Facebook es incómodo, no es tan grave como cuando le roban las credenciales para acceder a manejar sus cuentas bancarias o sus créditos. Por esa razón la banca virtual es la primera perjudicada ante esta situación. Ahora, cuáles son los métodos de robo de identidad que se usan actualmente? LOGGERS: Un logger (derivado del inglés: key (tecla) y logger (registrador)); registrador de teclas, contenido, eventos; es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, registrar los pantallazos, registrar los eventos y el contenido transaccional para posteriormente memorizarlas en un archivo y enviarlas a través de internet. Muchos bancos cuentan con un sistema anti-keylogger consistente en un teclado virtual. Sin embargo este teclado virtual no protege a sus clientes contra screen, event o content loggers. TROYANOS BANCARIOS: Un troyano es un programa que contiene a otro escondido. El filtrado de los datos de los usuarios se lleva a cabo mediante listas de entidades bancarias a monitorear. Dichas listas contienen cadenas de texto que suelen ser: La propia URL del banco objeto de suplantación: Subcadenas de la URL del banco: *mibanco.com El título de la ventana de la página de banca en línea: MiBanco Internet Explorer

2 Cadenas particulares del cuerpo de la página de banca en línea: MiBanco Todos los derechos reservados. Cadenas del código HTML de la página relacionadas con los formularios de ingreso a la cuenta personal: <label for="lg_username" class="labuser_01"> Para poder comparar estas cadenas con los nombres, y otros parámetros, de las páginas visitadas, ha de existir un mecanismo que permita interactuar con el contexto de la página visitada. Los métodos más usuales son la intercepción de funciones de la API de Windows (hooks), extensiones de Internet Explorer (BHOs, Browser Helper Objects) o de Firefox, inspección de ventanas abiertas, DDE, interfaces COM/OLE, e instalación de controladores en el sistema. Cómo logran los troyanos robar las credenciales bancarias? Los métodos que se han citado con anterioridad para monitorizar entidades, en la mayoría de los casos, también sirven para capturar datos bancarios. Se suele hacer una clasificación más somera de los troyanos en función de la técnica empleada para capturar los datos de los usuarios. Éstas son las más comunes: Registro de teclas pulsadas Captura de formularios Capturas de pantalla y grabación de video Inyección de campos de formulario fraudulentos Inyección de páginas fraudulentas Redirección de páginas bancarias Man-in-the-middle GUSANOS INFORMÁTICOS (WORMS): Es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario. A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan. Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse. Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervención del usuario propagándose, utilizando Internet, basándose en diversos métodos, como SMTP, IRC, P2P entre otros. De nuevo, más que malware, los gusanos, como los troyanos son medios de propagación de software malicioso. PHARMING: Es una técnica utilizada por ladrones para obtener información financiera personal de los usuarios sin su conocimiento. Así funciona el pharming: Un ladrón primero infecta su computadora con un virus ya sea mediante el envío de un correo electrónico o mediante la instalación de un software en su computadora cuando usted visita un sitio Web. La instalación generalmente se realiza sin que el usuario lo sepa; sin embargo, también podría instalarse como parte de un producto que el usuario instala de un si tio Web. Una vez que la computadora se encuentra infectada, el virus dirige al usuario a un sitio falso que se ve casi idéntico al sitio Web elegido. Luego, quienes delinquen a través del pharming

3 "cosechan" el nombre de usuario, contraseña y otra información personal sin que el usuario se dé cuenta. El Pharming es más sofisticado que el phishing puesto que, mientras el phishing requiere que los usuarios hagan clic en un enlace y/o respondan un correo electrónico, el pharming ocurre cuando los usuarios atraviesan el proceso habitual de ingresar la dirección de un sitio Web en el buscador. SPYWARE: El spyware o programa espía, es una categoría dentro de los programas de ordenador que se integran en el sistema operativo de varias formas, y son capaces de comerse la mayoría de los recursos que tiene un equipo. Están diseñados para rastrear los hábitos de navegación en Internet, inundar con ofertas para realizar compras, o generar tráfico para alguna Web a la que apunten. Según unas estimaciones recientes, más de dos tercios de las computadoras personales están infectadas por alguna clase de spyware. El spyware no está generalmente diseñado para dañar un computador. Podemos definirlo en rasgos básicos como cualquier programa que se introduce e instala en un ordenador sin permiso, y se mantiene oculto en un plano secundario a la vez que realiza cambios en la navegación del usuario. El daño que hace es más orientado a un enfoque comercial, recopilando información para campañas de publicidad y pudiendo desplegar molestas ventanas pop-up para mostrar sus productos. MAN IN THE MIDDLE: En la última versión del ataque MITM, el usuario sufre un engaño y es llevado al sitio web incorrecto. Las técnicas más comunes para engañar a los visitantes incluyen correos electrónicos de phishing, sitios inalámbricos falsos y, más recientemente, el ataque a servidores DNS no seguros. El ardid utiliza un servidor fraudulento para interceptar las comunicaciones entre el navegador del usuario y un sitio web legítimo, y luego funciona como proxy, capturando información confidencial por HTTP entre el navegador y el servidor fraudulento. Lo que hace que este ataque sea diferente de los ataques MITM anteriores es que el sitio fraudulento intenta aprovechar señales visuales falsas, reemplazando el icono de favorito del sitio fraudulento por un icono del candado, que tradicionalmente se identifica como una señal visual de sitio protegido con SSL. MAN IN THE BROWSER: Es un ataque que ha evolucionado a partir del Man In The Middle (MITM). En concreto es un troyano que tras infectar una máquina es capaz de modificar páginas webs, contenidoso transacciones, de una manera invisible tanto para el usuario como para el servidor web. Los ataques MITB son muy difíciles de detectar y además la probabilidad de que tengan éxito es muy alta ya que medidas como el SSL o cualquier otro tipo de cifrado no ayudan a que este ataque desaparezca. Estos troyanos infectan los navegadores de Internet y modifican las páginas y las transacciones para robar secretos personales como nombres de usuarios, números de la seguridad social, contraseñas de cuentas bancarias, datos de tarjetas de crédito, e incluso claves dinámicas como tokens o tarjetas de coordenadas. No hablamos de un troyano nuevo, pero la proliferación de este tipo de troyanos está empezando a aumentar y hoy está atacando a varios bancos en Latinoamérica y Europa, convirtiéndose en la principal preocupación para entidades financieras y usuarios. PHISHING: En esta modalidad de fraude, el usuario malintencionado envía millones de mensajes falsos que parecen provenir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su tarjeta de crédito. Dado que los mensajes y los sitios Web que envían estos usuarios

4 parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales. Para que estos mensajes parezcan aún más reales, el estafador suele incluir un vínculo falso que parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario está en uno de estos sitios web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad. BARRAS DE AYUDA: Lo mismo que un troyano o un gusano, las barras de ayuda son un medio por el cual se introduce Malware a una computadora. Las barras de ayuda son programas que los usuarios instalan voluntariamente en el browser (las más comunes son las de Google y Microsoft), y generalmente sirven como un medio de navegación rápida hacia algún servicio de Internet. Sin embargo es cada vez más común ver barras de navegación de streaming de audio o video, juegos online y servicios similares. Muchas de estas barras son realmente troyanos que no solo traen la conexión rápida al servicio sino que, al ser instalada por el usuario, simultáneamente instalan algún tipo de malware. LA SOLUCION Hasta el momento, la gran mayoría de soluciones disponibles en el mercado funcionaban bajo un concepto correctivo. Es decir, para contrarrestar una nueva vulnerabilidad, esta se debe dar a conocer primero, lo que significa que se actúa cuando la vulnerabilidad ya ha hecho daño. Por otra parte, de nuevo, una gran mayoría de estas soluciones correctivas están diseñadas para proteger un dispositivo específico. Por esta razón las entidades financieras terminaron solicitándoles a sus clientes que NO hicieran transacciones desde dispositivos que no fueran de entera confiabilidad. Aunque aparentemente esta es una recomendación válida, la verdad es que la recomendación, que en algunos casos es una exigencia, lo que realmente hizo fue limitar el verdadero alcance de los servicios web de las entidades, pues prácticamente elimina de tajo o dificulta enormemente la portabilidad de la banca online. Con esta limitante, una persona que se encuentra por fuera de su ambiente natural no puede contar con la promesa básica de la transaccionalidad en línea desde cualquier lugar, a cualquier hora. Aunque Internet tiene un cubrimiento global asombroso, la banca por Internet tiene un cubrimiento realmente limitado. Cafés Internet, redes WiFi públicas, es decir, cualquier alternativa de conexión a Internet que teóricamente está por fuera del entorno natural del cliente de un banco, está absolutamente vetado para interactuar con la institución. Pero las necesidades de los clientes son bien distintas. Un cliente desea tener su banco siempre a la mano. No importa donde esté o a través de qué dispositivo o red se conecta. Sin embargo, por el momento, este cliente no lo hace. No se conecta a su banco. No lo hace porque tiene miedo a que lo roben. Y tiene razón, porque hoy la probabilidad de que lo roben puede ser alarmantemente alta.

5 LA SOLUCION AZUAN La solución de Azuan fue diseñada precisamente pensando en las falencias que tienen las otras soluciones disponibles en el mercado. La suite AzuanTrust está basada en una novedosa y efectiva aproximación hacia el problema de la seguridad digital que permite actuar de manera preventiva, protegiendo el momento en que se hacen las transacciones y no dispositivos, lo que permite devolverles la promesa básica de Internet a los usuarios de la banca online. Cualquier usuario, desde cualquier dispositivo y desde cualquier lugar podrá realizar transacciones a través de cualquier red, sin preocuparse porque puedan robar su información. La suite AzuanTrust AzuanTrust provee un completo conjunto de soluciones que permite optimizar los procesos de aseguramiento de transacciones a través de cualquier red, incluyendo Internet. Este nivel de seguridad permite explotar realmente el potencial del canal transaccional, aprovechando las ventajas operacionales y entregando el nivel de seguridad deseado por los usuarios. La tecnología desarrollada por Azuan fomenta el uso del canal electrónico en el mercado masivo de entrega y autenticación de aplicaciones, gracias a su capacidad para aislar el sistema operativo, convirtiéndolo en un escenario seguro para realizar transacciones. Adicionalmente, la suite ofrece mecanismos para implementar un segundo factor de autenticación al proceso, enfocando la solución en las necesidades del mercado masivo. La solución de AzuanTrust incluye: Aislamiento del sistema operativo para evitar ataques de malware. Posibilidad de mantener el aislamiento durante TODA la transacción (B2C) o solo durante el proceso de autenticación. Posibilidad de identificar el dispositivo desde el cual se hace la transacción (PC, MAC, teléfono inteligente, Tablet) o los dispositivos conectados a este y usarlos como segundo factor de autenticación. Habilidad para incluir un token OTP (Contraseña de único uso) de software al proceso de autenticación utilizando una aplicación basada en Java J2ME para el celular o un servicio de SMS. Habilidad para integrarse con soluciones de autenticación de terceros. Interfaz administrativa, con estadísticas completas de cada uno de los dispositivos usados para realizar cada una de las transacciones.

6 BENEFICIOS DE LA SOLUCION AZUAN A continuación enumeramos algunos de los beneficios que representa la solución AZUAN. La utilización de la suite AzuanTrust hace que la seguridad transaccional sea visible para los usuarios. Al usar AzuanTrust los usuarios podrán ver realmente que sus sistemas operacionales están aislados, lo que no sólo produce la sensación de seguridad, sino que además permitirá a las entidades realizar campañas preventivas contra sitios falsos mucho más fácilmente. La sensación de seguridad transmitida y la portabilidad de AzuanTrust permitirán que las entidades incrementen rápidamente sus bases de usuarios online. La calidad preventiva de AzuanTrust reducirá dramáticamente los costos asociados a la atención de fraudes digitales. Gracias a que AzuanTrust permite asociar dispositivos o hardware previamente en posesión de los usuarios finales como factores adicionales de autenticación, los costos logísticos asociados a los tokens tradicionales se verán reducidos drásticamente. La interfaz administrativa de AzuanTrust le permitirá a las entidades tener información detallada del hardware desde el cual se realizan las transacciones, lo que facilita las labores de auditoría y permite tener información vital para enfrentar el repudio de transacciones.