Expertos de Easy Solutions, líder en prevención de fraude electrónico analizan los ataques como el ocurrido la semana pasada, cuando varios reportes inundaron foros y publicaciones de seguridad resaltando un incremento en la tasa de un ataque de fraude llamado Operación Emmental.
El tipo de amenaza fue notado en primer lugar por compañías de seguridad hace aproximadamente 5 meses, pero el reciente aumento de ataques exitosos contra usuarios de banca móvil ha prendido las alarmas y destacado la efectividad del ataque. El hecho de que la mayoría de los ataques exitosos fueran dirigidos a bancos suizos llevó al nombre de Operación Emmental, en referencia al queso suizo con agujeros, sugiriendo imperfecciones en su seguridad.
Lo que ha sido más interesante sobre este ataque, no es que se trate de una nueva amenaza, sino el número de técnicas existentes que son usadas y la forma en que se combinan con el fin de derribar las medidas tradicionales de seguridad, como el uso independiente de un segundo factor de autenticación. Además, el ataque está usando las técnicas en nuevos canales que no son monitoreados por la mayoría de sistemas antifraude.
Técnicas como phishing, pharming, instalación de malware, envenenamiento de DNS, MITM y el desarrollo de aplicaciones falsas son todas utilizadas al tiempo, se usan con un vector para anular la seguridad que se dispone para proteger el siguiente vector.
Hemos visto que esta es una tendencia continua, no algo que sólo está presente en la amenaza de la Operación Emmental. Los estafadores tienen un muy buen entendimiento de cómo funcionan las soluciones de seguridad y han visto que los bancos están desplegando más de una solución para tratar y cubrir completamente el ciclo de vida del fraude y, por lo tanto, emplean este enfoque combinado para tener éxito.
Enfrentar tal ataque tan complejo no necesita sólo una solución para cada problema, el uso de técnicas de detección de próxima generación ni un enfoque de seguridad por niveles. También se requiere que cada elemento comparta inteligencia y trabaje de forma unificada al igual que lo hace el ataque.
Los ataques dirigidos contra los bancos suizos tuvieron tres etapas:
Configuración del Ataque de Phishing – La etapa inicial es usar un ataque de spear phishing vía email, el cual ejecuta una herramienta de malware en el PC del usuario, afectándolo antes de borrarse a sí mismo, de forma que no puede ser detectado por medios tradicionales. Este malware se enfoca en configurar el PC del usuario para que use un servidor DNS corrupto y también instalar un certificado SSL para que la segunda etapa pueda tener éxito.
Lanzamiento del Ataque de Phishing – El usuario no conoce los cambios hechos durante la etapa de configuración y luego navega a su sitio de banca en línea y se enfrenta a un ataque de phishing configurado en la etapa inicial. Los cambios de SSL hacen que el sitio de phishing luzca más real, anulando efectivamente cualquier seguridad proporcionada por SSL. El sitio de phishing luego tiene éxito al robar las credenciales del usuario, pero además configura la siguiente etapa del ataque al pedirle al usuario que descargue una falsa aplicación de banca móvil, la cual sirve para interceptar los mensajes de texto enviados por el banco.
Cobro del Ataque – En la etapa final, el estafador ahora puede usar las credenciales robadas para ingresar en la cuenta de banca en línea del usuario y transferir el dinero de allí. Los estafadores tuvieron en cuenta que algunos bancos desplegaron un segundo factor de autenticación, pero se habían preparado para esto en la anterior etapa al hacer que el usuario instalara la aplicación falsa. Esto prevendría que el segundo factor de autenticación fuera efectivo al interceptar los mensajes de texto enviados por los bancos al usuario que contenían contraseñas de un solo uso (OTP). Las OTP se desviarían al estafador para que las usara al ingresar al sitio bancario y el usuario verdadero seguiría sin saber que su cuenta ha sido secuestrada. En este punto, el estafador tiene el control y puede «cobrar» el ataque.
Implementar una solución inteligente y unificada es la única forma segura de defenderse contra un ataque como este.
Vemos tales amenazas día a día, y defendemos nuestros usuarios contra ellas a través del uso de múltiples niveles de detección y prevención de fraude web, el cual comparte inteligencia para asegurar que los estafadores no pueden atacar una defensa de seguridad que permita que los ataques posteriores tengan éxito.
Con el fin de tratar estos tipos de amenazas, los bancos deben aprovechar la tecnología que funciona contra los ataques de malware y phishing, monitoree tiendas de aplicaciones y dispositivos en busca de aplicaciones falsas y brinde detección de anomalías transaccionales con autenticación de próxima generación para prevenir que los ataques tengan frutos. Pero más importante, los bancos deben poder compartir inteligencia a través de todas estas tecnologías. Por ejemplo, es importante que la inteligencia sobre sitios de phishing no sólo pueda usarse para desactivar esos sitios, pero que también sea aprovechada para entender lo que se les pide instalar a los usuarios de aplicaciones falsas si van a ese sitio. Otro ejemplo es la habilidad de aplicar más medidas avanzadas de autenticación (las cuales van más allá de las OTP) una vez el banco conoce que él y sus usuarios han sido víctimas de una intento de ataque de phishing.
Al aprovechar la inteligencia a través de múltiples tecnologías de prevención de fraude, los bancos pueden obtener un «puntaje de riesgo» sobre toda la transacción, el cual tiene en cuenta factores como si el usuario ha sido afectado por la instalación de malware o aplicaciones falsas, si ha usado autenticación más avanzada y si el comportamiento es propio de ese usuario.
Cuando los atacantes encuentran los agujeros del «queso suizo» en la prevención tradicional de fraude, es tiempo para que las compañías implementen verdaderamente un enfoque por niveles para la prevención de fraude, para que ningún agujero se convierta en su perdición.