Skip to content

Troyanos financieros diseñados para minimizar la detección de operaciones ilegítimas por los sistemas antifraude

Publicado por Sergio Hernando el 3 octubre 2009

Buenas,

Durante los últimos días el mundillo de la lucha contra el malware ha sido testigo de la aparición de una nueva generación de troyanos financieros con un nivel de sofisticación extremadamente elevado.

Según lo que se puede leer en el último informe trimestral de Finjan Cybercrime Intelligence Report, esta nueva generación de troyanos demuestra de una manera bastante convincente que los creadores de malware tienen conocimientos precisos sobre cómo actúa la industria financiera en términos preventivos para evitar que sus clientes sufran quebrantos ocasionados por la contaminación por malware.

Tal y como se describe en el informe, una de las muchas maneras que hay de tratar de contener transacciones de salida de capital de los productos financieros de las víctimas es la implantación de controles de patrones comportamentales. En el argot es frecuente denominar a estos controles como de detección de actividad inusual, y básicamente se trata de levantar alarmas y establecer bloqueos preventivos cuando se producen movimientos que no corresponden al patrón habitual del cliente. Si un cliente tiene dos transferencias periódicas mensuales de salida por importe de 500 y 1000 euros respectivamente, si se produjera una transferencia de salida de, por ejemplo, 3000 euros, esta operación se consideraría inusual, y lo normal es frenarla y solicitar al cliente una autorización adicional sobre la misma (obtenida , por ejemplo, tras consulta telefónica)

Esta nueva familia de troyanos financieros ataca al sistema donde más le duele: tratando de anular los beneficios que aporta el análisis de patrones comportamentales del cliente del que se alimentan los sistemas antifraude más modernos. Así, estos troyanos tienen capacidad para asegurar que el saldo contable de la víctima sea positivo, de que las transacciones no superen los límites establecidos para la declaración de actividad inusual y realizando movimientos de salida aleatorios, lo que complica la vida en extremo a los sistemas antifraude basados en umbrales y repetitibilidad de operaciones. En la página 5 del informe se puede ver cómo configurar el troyano para los exploradores más habituales, así como establecer los umbrales máximos y mínimos a utilizar.

La cantidad a sustraer se calcula meticulosamente por el troyano usando, tal y como se muestra en la página sexta del informe, algunas variables de control para evadir la detección de los sistemas antifraude:

  • Si la cantidad excede el límite que tiene designado el usuario como máximo autorizado para transferir en el canal Internet, la operación no se realiza.
  • Se calcula la banda entre la cantidad máxima permitida y la mínima que origina saldo deudor del cliente.
  • Se calcula un porcentaje determinado en esa banda.
  • La cantidad final resulta de aplicar un factor aleatorio a las cantidades calculadas tras aplicar el porcentaje a la banda permitida.
  • Una vez realizada la sustracción, el troyano comunica a su centro de control los datos finales de la operación, como la cantidad transferida, versión del explorador, límites de operación, números de cuenta, etc.
  • Para minimizar las posibilidades de que un usuario advierta en sus movimientos las operaciones fraudulentas, el troyano falsea los resultados mostrados en la banca a distancia, ocultando las operaciones fraudulentas y mostrando un saldo contable adulterado que no recoge las operaciones ilegítimas. En otras ocasiones, se manipula la cantidad a mostrar para que el usuario, en caso de tener muchos movimientos, lo tenga difícil para diferenciar las cantidades fraudulentas de las usuales.

El informe ejemplifica una operación fraudulenta realizada en Postbank con esta última característica:

09:39:04 2009-08-24 GMT FJFAFJP1HAWOHNCAIN
NAME=POST1
USERHOST=postbank.de
USERACC=[REMOVED]
USERPASS=[REMOVED]
BALANS=2027.69
INET_LIMIT=15000.00
DISPO_LIMIT=7000.00
MAXBETRAG=
BLZ=60050101
TRUEAMOUNT=53,94
AMOUNT=8576,31
%DROP_BLZ%=|LBBW/BW-BANK STUTTGART|
%DROPNAME%=|xxx xxx|
%KONTONUMMER%=|1000000001|
%BLZ%=|60010070|
%C1%=|Ref Num 123456|
%C2%=|Ref Num 123456|
%C3%=|Ref Num 123456|
%C4%=|Ref Num 123456|
COMMENT: Tigr
EXINF=
DATE: 24.08.2009
VERSN: iexplore.exe 6.0.2900.2180
IP: 77.0.000.000

El troyano, en vez de mostrar en los movimientos la cantidad real de salida (8576,31 euros) inyecta en el navegador una cantidad irreal de 53,94 euros, lo que hará más difícil, por parte del usuario, advertir el carácter ilegítimo de la operación. Con este método, los investigadores estiman que del 11 de agosto al 26 de agosto se sustrajeron 193.606 euros, sobre 12.000 euros al día. Del 30 de agosto al 1 de septiembre se sustrajeron 42.527 euros, totalizando unos 21.000 euros por día. Con estos números, se estima que anualmente se pueden sustraer con relativa comodidad del orden de 5 millones de euros. No está nada mal.

La proliferación de estos troyanos es una mala noticia para todos menos para los amigos de lo ajeno. Malo para el bolsillo del usuario y su confianza en un canal que necesita inspirar confianza, y malo para los estrategas de seguridad en instituciones financieras, que tendrán que revisar detenidamente los métodos estáticos y comportamentales de detección de fraude.

Desde el punto del vista del usuario las acciones a tomar son mantener la cautela y ser extremadamente precavidos cuando operamos en Internet. Maneras de evitar contaminación son, por ejemplo, no navegar sitios que no sean de nuestra confianza, hacer caso omiso a los correos no esperados, evitar la descarga y uso de software que no sea de confianza, y tratar por todos los medios de habilitar medios de detección de fraude alternativos, como las alertas al móvil. Si se tiene el conocimiento suficiente, emplear navegadores sobre máquinas virtuales es una opción muy recomendable.

Desde el punto de vista de las instituciones financieras, paciencia, elevar a CAPEX casos de estudio con previsiones realistas y dotar partidas presupuestarias para mejorar los sistemas antifraude. Poner a la disposición del cliente cuantos más medios para que él mismo advierta operaciones inusuales es otra práctica recomendable. Este troyano en concreto ataca a instituciones alemanas, pero viendo esos números tan jugosos, no me cabe duda de que atacará otros países. Probablemente lo esté haciendo ya.

Si alguien tiene dudas sobre cómo operar de manera segura en banca a distancia, que deje un comentario. En la medida de lo posible trataré de aportar mi granito de arena :)

Un saludo,

Be Sociable, Share!

Categoría/s → Malware

7 comentarios
  1. 3 octubre 2009

    Hola Sergio,
    Espero que te vaya todo bien en tu nueva andadura profesional….. Realmente el escenario de fraudes financieros (phishing, troyanos dedicados, etc.) es un tema preocupante y muy serio pero personalmente no me afecta en absoluto. Nunca (de hecho no tengo ni el servicio habilitado) opero a través de internet, únicamente me limito a consultar movimientos y estados. Las transacciones las realizo a través de email o teléfono contactando con el director de mi sucursal. Ya sé que lo suyo sería hacerlo de forma online pero……….. cada uno establece sus prioridades. Tampoco es una conducta paranoica ni similar, tampoco hago tengo la necesidad de hacer un uso intensivo de estos servicios.

    Dónde si tengo de vez en cuando problemas es en el pago online con tarjeta. Mi entidad bancaria tiene habilitada una pasarela de pago en la que tampoco estoy activo. La verdad es que en ocasiones me hubiera ido bien esa modalidad pero siempre hay alternativas…..

    Saludos,

  2. 3 octubre 2009

    Hola Edgard,

    La andadura excelente. Un paso muy correcto del que no me arrepiento lo más mínimo :)

    Conozco muchos casos similares al tuyo. La gente, por los motivos que crea oportunos, es libre de proclamar a un “hasta aquí hemos llegado”, y opta por métodos de canales transversales, como combinar la banca a distacia en modo consulta con operar vía banca telefónica para la transaccionalidad, o si se prefiere, acudiendo a la sucursal (o llamando a un gestor)

    En mi persona conjugo casi todas las modalidades, por ejemplo tengo una cuenta en CAM con la que satisfago un hipotecario, y jamás he tenido clave de operaciones ni tarjeta de coordenadas: sólo entro y repongo dinero cuando se acerca el vencimiento mensual de la deuda. Dudo mucho que nadie sea capaz de sacar un sólo euro de esa cuenta.

    No obstante, para mis servicios principales, sí que necesito mi banca en línea. Sin llegar a tener una cartera compleja, sí que me gusta operar no sólo con los productos de pasivo usuales, como son las cuentas, los depósitos o los fondos, sino que también me gusta hacer mis pinitos en otro tipo de operaciones más interactivas, como por ejemplo, las cuentas de valores o los pocos servicios de trade finance a los que se nos suele permitir intervenir de modo autónomo a los usuarios particulares. No es algo que requiera por tener un patrimonio espectacular, créeme, pero he estado ligado a la industria financiera mucho tiempo y confieso que me sigue gustando el mundillo, con lo que me gusta explorar todos los productos (y en paralelo, la seguridad que entraña realizar estas operaciones desde un ordenador o dispositivo móvil)

    En cuanto a tarjetas, pues ídem. Soy un usuario muy activo de medios de pago, y no concibo poder prescindir de ellos. Soluciones, para todos los gustos. ABN, por ejemplo, segrega toda la información de tarjetas de la banca en línea. No hay manera de operar con ellas aún estando segregadas. Sólo es posible operar en CNP (comprando en línea) y en comercios (físicamente con tarjeta), estando el servicio limitado a la consulta de operaciones. Es otra manera de hacer las cosas, que algunos encontrarán más cómoda y otros no :)

    Al final lo que importa es ser consecuente con uno mismo, con lo que me alegro que tras tu propio “risk assessment” hayas delimitado tu exposición al riesgo. Es algo que hacen pocas personas, créeme.

    Un abrazo :)

  3. 3 octubre 2009
    Armin permalink

    Y que hay de la opción de no usar Sistemas operativos Microsoft windows?

    Por ejemplo Utilizar una distribución Linux y un navegador bastante seguro como Opera o Firefox.

    saludos!

  4. 3 octubre 2009

    Armin,

    Es una opción, claro, pero teniendo en cuenta que la mayoría de usuarios que sufren quebrantos son usuarios de Windows, lo suyo es intentar que operen con el sistema que les gusta con soluciones seguras. Una de ellas es navegar con máquinas virtuales Linux sobre Windows, aunque hay algunos troyanos que son capaces de interceptar credenciales en este tipo de despliegues, así que no caigamos en el error de pensar que esta solución es la panacea.

    Un saludo :)

  5. 4 octubre 2009
    Nemo permalink

    Navegar en una máquina virtual puede ser más seguro, pero siempre y cuando el sistema huésped no este infectado, o sospechoso de estarlo, ya que un rootkit podría snifar la conversación y capturar igualmente las credenciales, este o no cifrada la conversación.

Trackbacks & Pingbacks

  1. Troyanos financieros diseñados para minimizar la detección de operaciones ilegítimas por los sistemas antifraude | SinapsysMx.Net
  2. Troyanos financieros diseñados para minimizar la detección de operaciones ilegítimas | Bancos al Día

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS