martes, julio 08, 2008

Medidas de protección contra troyanos bancarios (I de VI)

***************************************************************************************
Artículo publicado en PCWorld Profesional Septiembre 2008
Medidas de protección contra troyanos bancarios (I de VI)
Medidas de protección contra troyanos bancarios (II de VI)
Medidas de protección contra troyanos bancarios (III de VI)
Medidas de protección contra troyanos bancarios (IV de VI)
Medidas de protección contra troyanos bancarios (V de VI)
Medidas de protección contra troyanos bancarios (VI de VI)
***************************************************************************************

Desde hace ya un tiempo todos los que trabajan en la industria de la lucha contra el malware parecen estar de acuerdo en que se acabó el romanticismo. ¿Romanticismo? Sí, esa época en la que los virus y los troyanos estaban creados por un autor o un grupo reducido y cuyo único objetivo era el destrozar tu ordenador para dejar claro que puede hacerlo o tener controlado tu PC con el único deseo de pasar un buen rato. Hoy en día la cosa está un pelín más difícil.

Alguna vez hemos ido comentando en un taxi como está el tema de la industria de robar pasta y al final del viaje el taxista, con los ojos inyectados en preocupación nos ha dicho: “Oigan, disculpen, yo uso el Banco Pepito por Internet, ¿no me robarán el dinero, verdad?” A lo que le hemos contestado que por supuesto que no, que tranquilo, que…Vale teníamos prisa, y no podíamos sentarnos a explicarle todas las precauciones que debe tomar para intentar mitigar la amenaza.

Conoce a tu enemigo

Sí, es tu enemigo, lo quieras o no te va a perjudicar de una u otra manera, así que más te vale que sepas como actúa. Si piensas que “es que hay que ser muy tonto para caer en las estafas” es que eres una víctima propicia.

El “Phishing” basado en correos escritos en muchos casos utilizando un traductor automático para decirte que “Garche esta ancla” fueron sólo las primeras apariciones de lo que se iba a convertir en una gran industria de generación de herramientas y mecanismos para robar pasta de los que los troyanos bancarios, con cien mil variaciones y mutaciones, son el máximo exponente tecnológico.

Sí ya hay que hablar de una industria detrás, una gran maquinaria de personas y técnicos que buscan la forma de tomar control de tu ordenador pero sin molestarte. Ya se ha pasado esa época en la que querían hacerle daño a tu ordenador, no quieren que tu procesador de textos favorito deje de funcionar, no quieren que no puedas jugar, no quieren que no puedas navegar por internet. No, al contrario, son como el Venom de Spiderman, quieren vivir contigo, en tu ordenador, ser parte de tu maquinita, tu dirección IP, tu proveedor de Internet y por supuesto tus cuentas bancarias. El daño no se lo quieren hacer al ordenador, te lo quieren hacer a ti.

Fuego Purificador

Para entender cómo funcionan los troyanos bancarios hoy en día lo primero que tienes que preguntarte es: ¿Tú cuándo vas al médico? ¿Vas periódicamente? ¿O sólo cuando te duele algo? Seguro que podemos mirar en nuestra agenda y responder a esta pregunta fácilmente. La mayoría sólo vamos al médico cuando nos duele algo. No somos de revisiones anuales, semestrales o trimestrales dónde nos hagamos una revisión completa. Con nuestro ordenador sucede lo mismo, ¿vas a buscar algún troyano en tu equipo cuando no tienes ningún síntoma? “Mi equipo va bien, no me hace nada raro ergo estoy seguro” es una reflexión no del todo cierta y que sólo será verdad (y nunca comprobable al 100 %) si has tomado todas las precauciones necesarias.

Los fabricantes de malware buscan evitar que tu ordenador vaya al médico, que notes tú su presencia en el ordenador y lo que es aún peor, que apliques el famoso “fuego purificador”, es decir, que reinstales tu equipo completamente. Esto no gusta nada a los troyanos bancarios.

Grano no hace Granero…

¿Para qué quieren vivir conmigo en mi máquina? La primera y más fácil respuesta a esto es que quieren estar en tu máquina para grabar tus acciones cuando te conectas a un banco y así robar tus credenciales. No, no vas a estar seguro ni aunque la contraseña no se vea, ni aunque se use un teclado virtual, ni aunque ese teclado virtual vaya aleatorizando la posición de los números cada vez, ni aunque aparezca un candadito de seguridad autenticando el servidor.

Los troyanos bancarios están preparados para grabar las pulsaciones del teclado en tu ordenador o para grabar la zona de pantalla dónde has hecho clic cada vez que lo haces, por lo tanto siempre van a saber qué acciones has tomado cuando te enfrentas a una aplicación web bancaria.

Una vez recogida esta información es transmitida hasta un servidor controlado dónde se van almacenando los datos de las cuentas bancarias robadas. Hoy en día, los sistemas de almacenamiento son cada vez más elegantes, siendo controlados por paneles de control que clasifican directamente las cuentas robadas por países y bancos en función de las direcciones IP en las que han sido robados.

Esto es muy importante, ya que las entidades bancarias tienen sistemas de alertan cuando una cuenta está realizando movimientos fuera de su perfil de uso. Es decir, si una cuenta siempre se usa desde Francia y de repente se empieza a utilizar desde Korea entonces saltan las alarmas en los sistemas de los bancos.

Imagen: Panel de Control de un troyano Bancario publicado por Hispasec Sistemas

***************************************************************************************
Artículo publicado en PCWorld Profesional Septiembre 2008
Medidas de protección contra troyanos bancarios (I de VI)
Medidas de protección contra troyanos bancarios (II de VI)
Medidas de protección contra troyanos bancarios (III de VI)
Medidas de protección contra troyanos bancarios (IV de VI)
Medidas de protección contra troyanos bancarios (V de VI)
Medidas de protección contra troyanos bancarios (VI de VI)
***************************************************************************************

6 comentarios:

infi dijo...

Entretenida lectura.

Zipp0 dijo...

Muy interesante Chema, espero con ansia el próximo ;)

salu2!

Anónimo dijo...

Tio esta serie de articulos se oye de poc* mad**. Espero con gran espectacion los siguientes.

Alberto dijo...

Es bonito ver que estamos los terceros ... ;)

Tonio dijo...

joder cuando escribes entradas de este tipo, siempre se me hace corto el texto, soy un vicioso de este tipo de lectura (quiero aprender) y siempre quiero más... }:)

Bueno a esperar la segunda entrada, que no tarde please.

TaYoKeN dijo...

Joer, ya se ha cerrado el reto8? yo que andaba dándome de cabezazos con el "mensaje" del Sr. X del dump de memoria... Me quedaré con las ganas hasta que se publique la solución :(... DaniK podrías dar un avance de qué era lo que había que hacer con el "mensaje" ? porque está claro que un base64 a secas no bastaba...

Yo he probado, desplazamientos antes y después de la codificación y nada...

Saludos.

Entradas populares