G DATA. Whitepaper Las nuevas formas del robo de datos Ralf Benzmüller, G DATA Security Labs. Go safe. Go safer. G DATA.

Transcripción

1 G DATA Whitepaper 2008 Las nuevas formas del robo de datos Ralf Benzmüller, G DATA Security Labs Go safe. Go safer. G DATA.

2 El negocio de ciberataques con fines delictivos se ha convertido desde hace tiempo en un serio problema que va en aumento, haciendo necesaria la intervención de la policía nacional y servicios secretos de todo el mundo. Los ataques que se producen actualmente a través de Internet están motivados principalmente por razones delictivas y se llevan a cabo por organizaciones que actúan a nivel internacional. Los delitos online provocan daños por valor de miles de millones cada año. El phishing o fraude electrónico por que conduce al usuario a páginas web falsas es sólo una forma de esta técnica. Cada vez aumenta en mayor medida el número de robos de datos mediante caballos troyanos. Ya no sólo se roban códigos PIN o TAN. Los usuarios llegan a perder completamente su identidad online! Phishing o fraude electrónico El phishing es el intento de robar datos confidenciales del usuario mediante maniobras de engaño con un objetivo determinado. Desde los primeros intentos de este tipo de fraude a mediados de la década de los 90, ha aumentado considerablemente el número de ataques de fraude electrónico. Según estimación de G DATA Security Labs parece haber concluido la fase de crecimiento. Desde hace aproximadamente un año, permanece estancado el número de nuevos correos electrónicos fraudulentos con sus correspondientes páginas web. Se han superado los problemas iniciales con codificaciones de caracteres e idioma. Con herramientas flexibles y de fácil manejo, como RockPhish, los delincuentes pueden albergar diferentes páginas de phishing en una página de web. El grupo de destinatarios preferido siguen siendo los clientes de bancos en Internet, en particular en países en los que un PIN y un simple TAN son las únicas barreras que separan al ladrón de la cuenta como, por ejemplo, en el Reino Unido y EE.UU. Nuevos mercados Las páginas web ebay y su servicio de pago Paypal se encuentran entre las dianas preferidas. La búsqueda de nuevas víctimas se encuentra en pleno apogeo, cada vez van cobrando más importancia entre las páginas de estafa las páginas web de las tiendas en línea. También en las páginas de registro de las plataformas de redes sociales, bolsas de empleo y juegos online se ha hecho pública la existencia de comportamientos fraudulentos. Las cuentas de usuario tienen cada vez más valor para los delincuentes. Una cuenta de ebay robada puede servir para lavar el dinero ganado a través del phishing. En las plataformas de redes sociales los ladrones de datos encuentran información que pueden acumular y vender posteriormente. Las cuentas secuestradas también se utilizan para propagar spam a través de foros. Una protección frente al phishing es el filtro antispam. Este filtro detecta los correos electrónicos de phishing y, en mejor de los casos, no los admite. Un mecanismo de protección eficaz debe poder reconocer y bloquear todas las formas de spam independientemente del contenido. Con la técnica de OutbreakShield, G DATA aplica el filtro de spam más eficaz protegiéndole en tiempo real de todo tipo de correos spam y phishing independientemente de su contenido. 1

3 Táctica modificada Los mecanismos de protección cada vez más eficaces obligaron a los delincuentes online a cambiar de táctica. El acceso a las páginas de phishing hace tiempo que ya no se produce sólo a través del spam, sino que el peligro también acecha en los chat, juegos o foros. Defensa Las barras de herramientas anti-phishing instaladas en los navegadores advierten al usuario frente a páginas de phishing o prohíben el acceso a ellas completamente. IE7, FF2 y muchos Productos de Seguridad en Internet llevan esta función integrada en el programa. El resto pueden descargarse e instalarse, como es el caso de Phishtank, Google, Netcraft & Co. Estas barras de herramientas apuestan por el uso de un procedimiento heurístico para la detección de URL fraudulentos. Siempre existe el peligro de un falso positivo, por ello las reglas son más bien conservadoras. Muchos proveedores apuestan también por la fuerza de la comunidad. El usuario que detecta una página web fraudulenta la envía al Response Team, quien la verifica y la registra en una lista de bloqueo si lo considera oportuno. Estas listas poseen una desventaja considerable: Hasta la verificación de la página transcurre siempre mucho tiempo. En el caso de Phishtank tarda casi 2 días como promedio anual y en el caso de proveedores comerciales, este plazo es de unas horas. En este margen de tiempo los ladrones de datos pueden actuar sin restricciones. El deber del usuario Los productos o soluciones técnicas contra el phishing no son, pues, infalibles. La sensibilización del usuario es, al igual que se aplica en otros muchos fraudes, el medio más importante en la lucha contra la pérdida de datos. En el tratamiento de datos personales a través de Internet los usuarios deben extremar siempre las precauciones. Por ejemplo, la comprobación visual de las URL ( y leer el nombre de dominio, empezando por la derecha) debería encontrarse entre las medidas básicas obligadas. Pharming o redireccionamiento de tráfico de sitios web Pharming es una alternativa al ataque phishing clásico. Se redirigen a los usuarios sin que se den cuentan a páginas web falsas a pesar de haber introducido el nombre de dominio correcto. Técnica del pharming La base de este tipo de estafa es averiguar la dirección de IP del nombre de dominio. Además, el sistema DNS puede ser también objeto del ataque. En el caso de los dominios de broadcast, como las WLAN, es muy fácil falsificar las peticiones de DNS. Aunque también los servidores DNS con un mal mantenimiento o una mala configuración permiten llenar el caché del servidor DNS de datos falsos (DNS Cache Poisoning) hasta penetrar en el servidor DNS. 2

4 Puntos susceptibles de desmantelamiento de los sistemas DNS se encuentran también a nivel del cliente y los aprovechan sobre todo los caballos troyanos. Cómo se puede proteger de un modo sencillo? Con métodos sencillos nos podemos proteger de ataques DNS locales. Por ejemplo, cuando el usuario guarda el enlace a su banco online como dirección de IP en Favoritos. Pero el panorama es muy distinto en el caso de ataques a la infraestructura DNS. En este caso, el usuario de Internet debe confiar en el operador del servidor DNS. Crime-Ware o herramientas de delito Caballos troyanos, vulnerabilidades y programas malignos Otro fenómeno de robo de identidades: Los troyanos se han convertido en los protagonistas de la mayoría de los ataques de phishing. Los numerosos mecanismos de protección frente al phishing junto a la mejor información de los usuarios demuestran su eficacia. También las medidas de respuesta de los bancos, como es el uso del itan, mtan, testigo de seguridad para contraseñas TAN y HBCI con límite temporal, contribuyen a que la información captada ilegalmente no pueda ser utilizada. Los caber-delincuentes necesitan, al menos en la mayoría de los países, nuevos medios para captar datos y convertirlos con la mayor rapidez en moneda contante y sonante. Con este fin se utiliza todo tipo de herramientas de delito: El registrador de teclas graba acciones del teclado. Puede aparecer en forma de controlador u obtener datos desde las interfaces previstas en el sistema operativo (WinAPI Set- WindowsHook o WinAPI GetKeyboardState). Para pasar desapercibidos se integran en los procesos del sistema corriente(p. ej. winlogon.exe, services.exe) o utilizan rootkits. En la mayoría de los casos no se activan hasta que no se cumplen ciertos requisitos. Por ejemplo, cuando la página web abierta se encuentra en una lista, con frecuencia muy larga, de nombres de dominio o cuando se abren ventanas con determinados títulos. Registrador de pantalla: Como medida para combatir el registrador de órdenes de teclado aparecieron los teclados de pantalla. La reacción de los autores de software malicioso ha sido el registrador de pantalla. Estos graban en intervalos periódicos imágenes de todo el contenido de la pantalla (p. ej. Rbot) o generan a cada clic de ratón un gráfico del entorno del ratón. A veces, las secuencias de imágenes se transforman de inmediato en una película AVI. Manipulación del navegador: Algunos virus o programas maliciosos (p. ej. Torpig) cambian la apariencia del navegador. Son capaces de mostrar la línea de dirección con la dirección correcta, aunque el contenido proceda de otro dominio falso. También el candado que simboliza una conexión cifrada puede mostrarse de forma fraudulenta. Falsificación de contenidos: Algunos programas maliciosos (p. ej. variantes de Bancos o Nurech) manipulan los contenidos de determinadas páginas web e insertan otros campos de formularios o páginas web completas. Los certificados SSL siguen permaneciendo activados. Sin herramientas especiales es imposible detectar si estos datos son falsos o no. Los datos obtenidos de este modo son enviados tanto a los criminales como al servidor web auténtico. Después del robo de datos prosigue la sesión de forma normal, de forma que 3

5 la víctima no tenga ninguna sospecha al respecto. Sólo la consulta a los movimientos de cuenta será la prueba que dará la alarma del delito. Los antiguos Session Hijackers interrumpían la conexión de la víctima después de haber proporcionado sus datos. Así la víctima notaba de inmediato que había sido atacada. Desde hace algún tiempo, este tipo de delitos de robo de datos durante la sesión se realiza de forma que el atacante modifica las cantidades y datos de cuenta a su favor (p. ej. Bancos). La víctima sólo ve los datos que ha introducido. Además, el estado de la cuenta también se falsea. También aquí sólo es visible el fraude al mirar los extractos de la cuenta. DNS Spoofing o falsificación de DNS: Como ya se menciona arriba, las posibilidades locales de asignar un nombre de dominio a una dirección de IP falsa se utilizan cada vez con mayor frecuencia. Un punto de ataque que se utiliza a menudo por la familia de programas maliciosos QHosts es el archivo Hosts del directorio C:\windows\system32\drivers\etc. En este archivo, es posible asignar una dirección IP a un nombre de dominio. Una vez realizada esta operación con éxito ya no se realizará ningún intento más de verificar la dirección IP encontrada. Otra posibilidad la ofrecen las entradas del servidor de DNS. Son manipuladas de forma que se re-direccionan las solicitudes de DNS a un servidor controlado por el atacante. En la mayoría de las páginas se obtienen entonces resultados correctos, pero en otras, no. Redirector: Redirigen el flujo de datos de modo que es posible el ataque tipo Man-in-themiddle. Puede ser un proxy local o un servidor proxy que controla el agresor. A través de ellos, la comunicación de red de la víctima puede ser espiada de principio a fin. Los s, chats, páginas visitadas, datos introducidos en formularios y descargas de archivos pueden ser vigilados. Sniffer o programas rastreadores: Para captar el flujo de datos en una red se instalan los sniffers o programas rastreadores. Mediante la falsificación de ARP, esto funciona también en redes no conmutadas. Los troyanos espías examinan todo el PC en busca de información valiosa. Esta información puede ser direcciones de o archivos con determinado contenido o determinado tipo de datos. Estos datos son empaquetados y enviados al agresor. La información de login, códigos de registro y contraseñas (o sus algoritmos) son también datos codiciados. En la zona de almacenamiento protegida se guardan las contraseñas de páginas web y cuentas de correo electrónico, siempre que un usuario acepte la tentadora oferta del navegador o del cliente de correo electrónico de guardar las contraseñas. Es una buena idea prescindir de guardar automáticamente las contraseñas e información de registro. También las contraseñas introducidas en juegos, las claves de registro del sistema operativo y en otros programas populares se guardan en lugares conocidos (registro o archivos) del sistema y son robados de allí. También el clic inocente sobre un enlace puede llevar a la pérdida de datos. A través del Cross Site Scripting es posible que otra persona lea sus datos. Así, por ejemplo, el botón Oferta de las subastas en ebay fue manipulado de forma que el usuario accedía a una página de registro falsa. Realmente, las cookies son inofensivas e imprescindibles en muchas páginas de compras en Internet. No obstante, ofrecen también valiosa información sobre las páginas preferidas del usuario. Este tipo de información es sumamente valiosa para el publicista. Sin embargo, el robo de las cookies también puede valer la pena. Si alguien ha olvidado cerrar la sesión en su tienda de Internet o de su bolsa de contactos, mediante la cookie se puede tener acceso a esta página web con la configuración de la víctima. 4

6 Medidas de protección Para cada una de estas amenazas es necesario tomar medidas específicas que deben ir acordes a la situación en cuestión. Los sistemas Unified Threat Management (UTM) ofrecen una sólida base de protección. Integran varias tecnologías de seguridad, como el firewall, antivirus, detección anti-intrusos o prevención anti-intrusos en un sólo producto global y ofrecen una protección completa. Los afiliados a este concepto líder en su clase compran los mejores componentes individuales y se encargan de su compleja configuración. Un nuevo enfoque sobre el tema es el llamado behaviour blocking : La tecnología behaviour blocking presenta un procedimiento proactivo para analizar los posibles programas maliciosos. La tecnología analiza contenidos activos (active content) que podrían contener códigos maliciosos, en relación con su comportamiento en el sistema de archivos, en el registro y, en parte, también en la memoria RAM del ordenador. Algunas soluciones apuestan también por el procedimiento de la caja de arena, por el que se realizan los análisis en un entorno especialmente protegido. Balance de los daños El robo de datos ya no está relegado al dominio de los espías económicos, servicios secretos o terroristas. Las bandas de cibercriminales han descubierto el valor de los datos. En octubre de 2005 se ofrecía a los clientes del banco sueco Nordea un producto antispam de descarga gratuita. Este producto instalaba una versión del registrador de órdenes de teclado Haxdoor, que generaba un mensaje de error y requería una nueva introducción de los datos de acceso. Cuando se detectó el saqueo de numerosas cuentas de clientes de Nordea, el banco cerró el portal de banca en Internet. En total se produjo un daño de aprox EUR. La cuantía de los daños a través de la estafa online sólo puede ser objeto de estimaciones. Los bancos alemanes no revelan la suma total de los daños. BITKOM calcula para 2006, 3250 ataques phishing con unos daños de 4000 EUR por término medio, en total 13 millones de euros. La tendencia va en aumento [5]. En el Reino Unido la cantidad de información disponible es algo más alentadora. La organización APACS calcula para 2006 unos daños en la banca online de Gran Bretaña por un importe total de 46,5 millones de EUR. Los daños vía Internet causados por el robo de los datos de tarjetas de crédito se estiman en unos 214,6 millones de EUR. Los daños causados a escala mundial resultantes del robo de datos se sitúan dentro de un margen de varios miles de millones de euros. Sin embargo, estas actividades, desde hace mucho, ya no están limitadas al sector de los datos de la banca en Internet. Algunos espías de datos roban todos los datos introducidos en formularios en los ordenadores infectados. A partir de estos datos es posible obtener datos de acceso a foros de redes sociales, buzones de correo electrónico, tiendas de Internet, bolsas de trabajo, foros de chat, etc., etc. Los datos obtenidos de este modo se encuentran claramente en el área de los terabytes y sólo pueden procesarse con potentes arquitecturas de ordenadores y bases de datos. En el caso más sencillo, se venden en el mercado negro los datos sin clasificar: 380 MB por 60 EUR. Pero los datos de acceso también se pueden utilizar para el lavado de dinero y el envío de spam a foros. 5

7 Los programas espía troyanos guardan todos los documentos de un ordenador y los envían a los agresores. En el caso de los troyanos que se descubrieron a finales de agosto en la presidencia alemana, se pudo evitar el envío de 160 GB a un servidor chino. También en el área de las bases de datos se dieron algunos golpes grandes. Ejemplos conocidos son el de la bolsa de trabajo Monster.com y el del portal universitario StudiVZ. No obstante, muchos casos quedan ocultos al público, ya que las personas y organizaciones implicadas temen que ello afecte a su reputación. Estas cifras demuestran que el robo de información es un negocio floreciente. Conclusión El robo y comercio de datos robados es un negocio mundial. Los delincuentes actúan a nivel internacional y en redes con un alto nivel de organización. La >>Generation ecrime<< (generación de los delitos virtuales) se ha organizado durante los últimos años a diferentes niveles, en su infraestructura, táctica y economía. Los negocios ilegales virtuales cuentan con una larga experiencia. La entrada en nuevos mercados y la elaboración de nuevos conceptos de herramientas delictivas seguirá avanzando con toda seguridad en Debería ser obligatoria la aplicación de soluciones de seguridad de gran rendimiento a nivel usuario, como la protección antivirus, antiphishing, firewall y spam. Los resultados de la encuesta G DATA Security, realizada en febrero de 2008, pusieron de manifiesto que los usuarios no se aún toman realmente en serio la protección ante virus: El 47 por ciento de los usuarios de Windows consultados navegan por Internet sin protección, de ellos el 73 por ciento hacen uso de la banca online. La poca importancia que se le otorga al tema de la seguridad de datos y la escasa información sobre los procedimientos de los ciber-delincuentes facilitan a la sociedad delictiva virtual seguir con turbios negocios a lo grande. 6