SEGURIDAD LÓGICA Y ATAQUES RECIENTES EN ATM'S

Transcripción

1 SEGURIDAD LÓGICA Y ATAQUES RECIENTES EN ATM'S EL MUNDO DE DINOSAURIO Dinosaurio Dino JHON JAIRO HERNÁNDEZ Jhonjairo.hernandez@swatsecurityit.com d7n0s4ur70@gmail.com

2 #whoami Director Proyectos Consultor Seguridad Informática / Información Investigador Inform. Forense Académico Socio Fundador SWAT Security-IT SAS La (IN)Seguridad no es mas que el reflejo de tu Negligencia e Ignorancia, lo único seguro es que no hay nada seguro, solo mitigas el riesgo

3 Agenda w w w.s w a t sec Jhon u rityit Jairo Hernández i t. com Hernández

4 w w w.s w a t s e c u r i t y i t. c o m s e c u r i t y i t. c o m

5 02/10/2013 Encapuchados desprendieron con una camioneta un cajero de Bancolombia. Huyeron en otro vehículo y dejaron la camioneta con la que desprendieron el cajero, el robo asciende a 300 millones de pesos. www w.s w a t s e Jhon c u r Jairo i t y Hernández i t. c o m Hernández

6 06/05/2013

7 09/01/2012

8

9

10

11 Sofisticado Skimmer ATM Transmite datos robados Vía mensaje de texto

12 Skimmers sifón datos de la tarjeta en Bombas de Gasolina Skimmers tradicional Bombas Gasolina Skimmers inalámbricos basados Bluetooth -pum ump

13 Skimmers Point-of-Sale (POST) POS componente skimmer. Conector PIN pad Bogus está a la izquierda. Bordo Bluetooth del vendedor (abajo) conectado a la interfaz de NIP. Esta membrana fina como el papel encaja directamente debajo del teclado de PIN real. tp:/ /kre se rity co /201 1/05 05/p oi nt-o sale -ski kimm mmers-r

14 El oculto peligro de las nuevas tarjetas bancarias con chip La tecnología s e h a anunciado como infalible a la hora de los fraudes, pero hace algunas semanas se detectó una banda brasileña aprovechando u n a vulnerabilidad. Cómo evitar esta amenaza?

15 Tecnología sin contacto para ATMs Las tarjetas sin contacto Son aseguradas por la misma tecnología que se requiere de un chip y la entrada de PIN para transacciones por encima de un límite definido. La información de la transacción se transmite (RFID). Dispositivos NFC (Near Field Communication) se pueden usar en los sistemas de pago sin contacto, similar a los utilizados actualmente en las tarjetas de pago sin contacto, y permiten el pago móvil para reemplazar o complementar estos sistemas.

16

17

18

19

20 2009: Diebold es target del Trojano skimer-a Trojan

21 2010: Jackpotting ATM por Barnaby Jack (Q.E.P.D)

22 2010: Jackpotting ATM por Barnaby Jack

23 2010: Jackpotting ATM por Barnaby Jack

24 2012: MWR InfoSecurity revela la vulnerabilidad de chip y PIN Los estafadores pueden insertar fácilmente una "wedge" entre la tarjeta y el terminal robado, lo que engaña a la terminal en la creencia de que el PIN se verificó correctamente. De hecho, el estafador puede ingresar cualquier PIN, y no se aceptará la transacción

25 B A N K I N G M A L W A R E

26

27

28

29

30

31

33

34

35

36 INGRESO DE UN USUARIO AL BANCO UBS.COM CONEXIÓN CIFRADA POR HTTPS

37 OBSERVAMOS QUE EN REALIDAD NO ESTA SIENDO CIFRADA TOTALMENTE. ESTA PASANDO EN TEXTO PLANO.

38 Se realiza un Ingreso al Banco con una redirección al sitio JPMORGAN.CHASE.COM. Posteriormente se hace una redirección al sitio MFASA.CHASE.COM

39 El cual ha sido reportado en diversas fechas sobre posible sitio invalido que permite hackeo de los usuarios con diversas técnicas como phising, secuestro de credenciales de autenticación y descarga de malware.

40

41

42 Formulario Phising que permitía recopilar una gran cantidad de información del usuario cuenta habiente del Banco.

43 McAfee (sitio seguridad) reporta el robo de tarjetas de Crédito por medio de un Troyano (malware).

44 Posteriormente se hace una redirección al sitio IDC.JPMORGAN.COM

45 Ingreso al Banco bankunitedonlinebanking.com Es redirigido al sitio online.bankunitedonlinebanking.com haciendo referencia a cargar cualquier sitio que sea solicitado como URL incluyendo diversos sitios financieros del mundo y redes sociales.

46

47

48

49 Artefactos encontrados en relación con el Modus Operandi del Fraude Bancario El sitio Bankunitedonlinebanking.com tiene un programa que le indica al usuario que hay diversos mecanismos y dispositivos para conectarse, es decir el usuario puede descargar una versión del programa para el dispositivo móvil que tenga en su momento, como IPad, IPod, IPhone y envíos por SMS.

50 Interfaz de programa para descargar de itunes.

51 Interfaz de programa para descargar de Google Play (Android).

52 otro sitio re direccionado BancFirst Mobile Banking.

53

54 Una de las URL a las que puede direccionar Bankunitedonlinebanking.com es internebankingunfcu.org, esta presenta un formulario que al ingresarle cualquier numero de miembro inmediatamente le solicita diversos tipos de preguntas de validación para continuar con el inicio de sesión (logging).

55 el archivo install_flasplayer11x32au_mssa_aih.exe es referenciado por el sitio wwwptl02.ntrs.com, curiosamente para abrir un documento PDF

56 Los equipos son infectados con malware con nombre de archivo install_flasplayer11x32axau_mssa_ah.exe

57 El archivo install_flasplayer11x32axau_mssd_aaa_aih.exe, realmente contiene un tipo de Malware (Troyano) que puede tomar control remoto de nuestro computador.

58 Su cifrado es bastante bueno y alto grado, debido a que solo un tipo de Casa de Antivirus logra detectarlo con sus técnicas y firmas de revisión de software.

59 En el archivo bgbutton.png (imagen) se encuentra el malware (install_flasplayer11x32axau_masa_aih.exe) y se identifican los empaquetadores (programas para cifrar el malware UPX0 y UPX1).

60

61 Revisando mas información del malware (troyano) reportado, encontramos un análisis con bastante información del sitio de descarga ubicado en Noruega.

62

63 API de Facebook solicitando información de credenciales de autenticación.

64 Acceso a sitio solicitando credenciales de autenticación para restaurar el correo.

65

66 Sitio Web a donde dirigía un correo masivo que se enviaban desde el perfil de un correo hackeado, solicitando credenciales de autenticación.

67 El sitio había sido Hackeado y usado para los correos masivos enviados desde el perfil del correo anteriormente comprometido y usado como señuelo.

68 Otra URL a las que es direccionada con mecanismos de Phising la dirige a un sitio falso de Bancolombia, solicitando una gran cantidad de información sensible

69

70 Descarga de malware en el equipo de computo

71 Validando que se trata de un malware, se revisa con programas antivirus.

72 Sitio Web Phishing con descarga de Malware (Troyano)

73 La Investigación final de esta oleada de ataques por Pesca Milagrosa a diferentes Organizaciones en Colombia. Nos entregan al correlacionar los datos, que el ataque proviene de la Ciudad de Puchong, Selangor, Malasia

74 Su Localización Geo referenciada de acuerdo a su Longitud y Latitud nos da la posicion del lugar de donde se esta desplegando la Red del Delincuente

75 Trazamos la ruta desde el ISP hasta el punto en donde se localiza la IP que se esta asignando al delincuente informático.

76 Estos son los datos de la ubicación de los Bancos de Singapur y la dirección en donde el delincuente informatico realizaría el retiro de la transferencia

77 Del sitio de la IP del delincuente a la dirección del Banco de Singapur para realizar el retiro de la transacción efectuada por la Empresa Victima habían 380 Km, 3 Horas y 53 Minutos

78 La mayoría de las historias que se escuchan sobre el fraude bancario podrá involucrar malware creado por el Crimeware. El kit Exploit Blackhole, es conocido por distribuir software malicioso a través de drive-by-downloads. Como tal, el simple hecho de visitar un sitio comprometido es suficiente para conseguir que su equipo sea infectado con un Troyano Bancario, un malware falso antivirus, o un ransomware.

79 w w w.s w a t s e c u r i t y i t. c o m w w w.s w a t s e c u r i t y i t. c o m

80 w w w.s w a t s e Jhon c u r Jairo i t y Hernández i t. c o m Hernández

81 w w w.s w a t s e Jhon c u r Jairo i t y Hernández i t. c o m Hernández

82 UNO DE NUESTROS BANCOS COLOMBIANOS Captura de información ió en HTTPS que nos permite identificar: Enumeración de Urls, recursos y componentes del sitio Web El sitio Web realiza un referrer a un subdominio del sitio, el atacante podría intentar aprovecharlo como un proxy re direccionando a una Web falsa (web spoofing) Información de la estación de trabajo del usuario cliente (SO, Browser, Agent, etc.) Cookies, credenciales de autenticación (usuario, password) Host del Servidor Web del Banco Arquitectura ASP.NET, Servidor Web Microsoft IIS/6.0 Funciones Java del desarrollo de la aplicación. w w w.s w a t s e c u r i t y i t. c o m

83 INFORMACION HTTPS DE TRANSACION BANCARIA DE UN USUARIO DE HOME BANKING PASANDO EN TEXTO PLANO DEL LADO DEL CLIENTE w w w.s w a t s e Jhon c u r Jairo i t y Hernández i t. c o m Hernández

84 w w w.s w a t s e c u r i t y i t. c o m

85 w w w.s w a t s e Jhon c u r Jairo i tyit Hernández t. com Hernández

86 El equilibrio entre la Funcionalidad y la Seguridad La zona virtual se encuentra a escasos centímetros de la fila normal para las transacciones, cualquier persona simulando estar dentro de la fila con una grabadora o una buena retentiva, o manos rápidas para anotar, puede capturar toda la información sensible que tienes que dar para acceder a tu cuenta vía soporte telefónica, o sucursal virtual.

87 El equilibrio entre la Funcionalidad y la Seguridad Las oficinas de los Asesores comerciales permanecen con las puertas de las oficinas abiertas, para este caso a la mitad de esta oficina y a unos pocos metros de la sala de espera, se encuentra una impresora de Red, con información sensible, ya que los usuarios envían las impresiones y al parecer no se apresuran a recogerlas, un atacante rápidamente puede ingresar a la oficina y tomar información de ella, de cualquier tipo que encuentre como también tomar documentos del escritorio del funcionario del banco o fotografías de los despliegues de su pantalla, en solo un descuido del funcionario, ya que tienen como practica abandonar la oficina y no asegurarla o como mínimo cerrar la puerta así sea sin seguro.

88 El equilibrio entre la Funcionalidad y la Seguridad Las cámaras de vigilancia a pesar de que existen varias ubicadas, existen puntos ciegos en donde facilmente un ladrón o atacante puede esconderse. Me di a la tarea de hacer un poco de trashing con la mesura que la accion lo requiere, puesto que no debía levantar sospechas o estaría en serios problemas, encontrando información muy pero muy delicada de los clientes del Banco, no tienen mecanismo de extrusión de papel, y al parecer no hay campañas de sensibilización para el manejo de la información de los clientes. Estos no saben cuanta información están ofreciendo.

89 El equilibrio entre la Funcionalidad y la Seguridad Active el teclado en pantalla virtual de Windows XP y pude manipular la estación de trabajo, hasta realizar un CTRL+ALT +SUPR (tampoco debería estar activo). Al cerrar la sesión, tenemos a la mano una hermosa cuenta de usuario y Dominios de conexión disponible, sin contar que el equipo puede ser apagado o reiniciado. Se encuentran algunas ventanas sin filtros o protección que le permitirían a un atacante facilmente enviar señales a sus compinches. Jhon Jairo Hernández ndez Hernández

90 El equilibrio entre la Funcionalidad y la Seguridad Le comente la situación ió al asesor, de todos los posibles problemas que podían tener. Lo mas extraño, fue que ya en cuestión de poco tiempo, pudo ser desbloqueada y acceder para su servicio normal. Al llegar a Casa, me encuentro con un maravilloso mensaje de Phishing al Banco.

91 El equilibrio entre la Funcionalidad y la Seguridad Que me re direccionaba i a:

92 El equilibrio entre la Funcionalidad y la Seguridad Y el sitio del Phising i es:

93 El equilibrio entre la Funcionalidad y la Seguridad Que es Re direccionado i d de:

95 KEYLLOGERS DE TODO TIPO, CAJAS ABANDONABLES PARA HACKING w w w.s w a t s e Jhon c u r Jairo i t y Hernández i t. c o m Hernández

96 USO DE CREDENCIALES BANCARIAS EN UN CORREO COMUN DE UN USUARIO. TRASLADAMOS NUESTROS SERVICIOS AL CLOUD COMPUTING SUPUESTAMENTE CONFIANDO EN SU SEGURIDAD, AQUÍ OBSERVAMOS LAS C R E D E N C I A L E S D E AUTENTICACION QUE NO VAN CIFRADAS AL USAR EL SERVICIO. w w w.s w a t s e Jhon c u r Jairo i t y Hernández i t. c o m Hernández

97 w w w.s w a t s e Jhon c u r Jairo i t yit Hernández. com Hernández

98 NI TANTO, POR QUE NO DEPENDE SOLO DEL HARDWARE, SOFTWARE, SISTEMA OPERATIVO, DEPENDE TAMBIEN DE QUIEN ESTA DETRÁS DE EL ADMINISTRANDOLO Y SALVAGUARDANDO NUESTRA INFORMACION w w w.s w a t s e Jhon c u r Jairo i t y Hernández i t. c o m Hernández

99 w w w.s w a t s e c u r i t y i t. c o m

104 wwww w.s swats securityit Jhon Jairo Hernández i t. com Hernández

105 w w w.s w a t s e c u r i t y i t. c o m w w w.s w a t s e c u r i t y i t. c o m

106 ice_ix_malware_tricks_facebook_users_into_exposing_credit_card_details_says_trusteer.html w w w.s w a t s e Jhon c u r Jairo i t y Hernández i t. c o m Hernández