iProfesional

Los delincuentes están cambiando de los bancos tradicionales a la criptoindustria, con sus billeteras y fondos digitales          
17/10/2017 - 12:04hs

En el próximo año, el principal punto de pérdidas para los bancos por ciberataques no será el robo de dinero, sino la destrucción de su infraestructura de tecnologías de la información (TI) durante las etapas finales de un ataque pirata informático específico. 

Los bancos solían ser atacados solamente por ciberdelincuentes. Hoy los “hackers” vinculados a organismos gubernamentales lo están haciendo con más frecuencia. 

Destruyendo la infraestructura de TI, los ladrones informáticos tratarán de cubrir sus huellas durante los robos, mientras que el objetivo de hackers patrocinados por el Estado será maximizar el daño a los bancos y discontinuar las operaciones bancarias. 

En ambos casos, el daño hecho a los bancos puede ser incluso mayor que la cantidad de fondos robados debido a interrupciones en el servicio y el consecuente impacto sobre la reputación y las regulaciones.

Así lo advierte un reciente informe del Group-IB, una empresa que ayuda a las grandes corporaciones a reconocer y reaccionar ante las amenazas en línea originadas en Rusia, Europa Oriental y otros grandes centros para el ciberataque dirigido, al que tuvo acceso iProfesional.

La compañía es socio oficial de Europol e Interpol, las consultoras Gartner, Forrester e IDC, y la Organización para la Seguridad y la Cooperación en Europa (OSCE).

De acuerdo a la investigación, los hackers podrán atacar con éxito más instalaciones industriales dado que han aprendido cómo trabajar con la "lógica" de la infraestructura crítica. 

Estas instalaciones utilizan sistemas de TI complejos y exclusivos: incluso si uno accede a ellos, se necesita conocimiento específico sobre los principios de su operación para realizar los ataques. 

Durante el año pasado se observó que la competencia de los delincuentes informáticos aumentó junto con sus capacidades para impactar sobre la infraestructura crítica

Por lo tanto, ahora se estiman nuevos incidentes de gran escala que apuntan a industriales e infraestructura central relacionada.

Los hackers están cambiando su foco: de los bancos a la criptoindustria (billeteras digitales, transacciones, fondos), que estuvieron acumulando capitalizaciones y fondos cada vez más grandes. 

En términos técnicos, los ataques contra los proveedores de servicio en este sector no son más difíciles que contra los bancos.

Sin embargo, la seguridad implementada para la información y la madurez de las compañías de blockchain (cadenas de bloques) es significativamente inferior, según la advertencia del informe. 

Una motivación adicional para los ciberatacantes es que las tecnologías de blockchain son más anónimas y desreguladas, lo que reduce considerablemente el riesgo de ser atrapado durante el retiro de dinero.

Éxitos delictivosTodos los grupos delictivos que atacaron a los bancos rusos en el pasado volvieron gradualmente su atención a otros países: los Estados Unidos, Europa, América, Asia y el Medio Oriente.

Por ejemplo el grupo de hackers rusos MoneyTaker se centró en pequeños bancos de los Estados Unidos, uno de los cuales robaron dos veces.

Otro de los grupos de hackers rusos desarrolló un sistema automatizado para robar dinero a través del AWS CBR (Automated Work Station Client) del Banco Central de Rusia, un fondo interbancario de sistema de transferencia similar a SWIFT.

Los hackers usaron canales de comunicación encubiertos en todos los ataques detectados. Para establecer estos canales a menudo empleaban herramientas legítimas como Plink y AmmyAdmin.

Centrándose en cajeros automáticos y sistemas de procesamiento de tarjetas se ha reducido la cantidad promedio de pérdida de un ataque cibernético, pero esto permite a los atacantes llevar a cabo ataques más seguros para sus “mulas” que se ocupan de los retiros de efectivo. Los atacantes están en un país, el banco atacado está en otro y el efectivo se retira en un tercer lugar.

“Pishing”, vector clave de infecciónA pesar del hecho de que algunos bancos usan confiables herramientas anti-phishing, los empleados a menudo verifican su correo electrónico personal, que no está protegido por herramientas de seguridad corporativa, en estaciones de trabajo. 

Esta falla es aprovechada por los criminales. Piratas informáticos de bancos reunieron direcciones personales de correo electrónico de los empleados bancarios para enviar mensajes con archivos adjuntos maliciosos durante horas de trabajo.

El phishing para bancos y sistemas de pago está automatizado y se lleva a cabo en tiempo real, lo que permite a los ciberdelincuentes eludir las confirmaciones de SMS para debitar dinero. 

Todos los días, más de 900 clientes bancarios se convierten en víctimas de phishing financiero en Rusia, que es a veces el número diario de víctimas de malware. 

En promedio, 10-15 % de los visitantes de los sitios web infectados con phishing ingresan sus datos. En el 80% de los casos, los delincuentes recopilan datos comprometidos en Gmail, mientras que los motores de búsqueda rusos Yandex y Mail.ru solo cobran el 6%. 

Oro digitalLa publicidad alrededor de las criptomonedas y la tecnología de blockchain, definidas por los medios como el “oro digital”, provocó que los ataques de los delincuentes aumenten exponencialmente. 

En los sitios web de estas transacciones, los usuarios ingresan claves secretas para sus billeteras, después de eso el dinero es robado automáticamente. 

Las startups que lanzan estas monedas “no prestan suficiente atención a la seguridad de su sitio web”, advierte el informe.

Los atacantes obtienen acceso a estos sitios web, reemplazan una dirección de cartera real con una fraudulenta y recolectan fondos transferidos como parte de la transacción.

Los métodos son idénticos a los utilizados para los usuarios de aplicaciones bancarias. Los troyanos de criptomonedas son utilizados por los ciberdelincuentes durante bastante tiempo. 

Sin embargo, debido a las emisiones ya significativas, la extracción en computadoras y servidores hackeados produce resultados cada vez más bajos de un año a otro.  Por eso los atacantes están comenzando a usarlos para extraer nuevas criptomonedas. 

Mientras que en el pasado las instituciones financieras estaban preocupadas por ser atacadas por hackers con motivación financiera, ahora tienen que enfrentar una amenaza nueva y más peligrosa provocada por hackers patrocinados por organismos gubernamentales.

Estos hackers se centrarán en controlar los flujos de efectivo, recopilando información comprometedora sobre los clientes del banco, así como interrumpiendo el rendimiento de la infraestructura interna. 

El objetivo más específico es especialmente relevante para los países que se acusan mutuamente de ataques cibernéticos: pueden usar el sabotaje como contramedida.

Los hackers motivados por temas financieros permanecerán enfocados en los sistemas de procesamiento de tarjetas porque son los más seguros el área para atacantes y el procedimiento para la extracción de efectivo son relativamente simples y las operaciones a través de “mulas” son de bajo riesgo. 

Por lo tanto, esta tendencia ofrece oportunidades para atacantes menos experimentados, porque los ataques de procesamiento de tarjetas son seguros para aquellos que participan en retiro de efectivo, es simple de implementar y no requiere dinero confiable.

Los bancos deben prestar especial atención a las conexiones de socios autorizados para incorporar redes ya que estos socios ya se han utilizado en una serie de ataques como un vector importante para la infraestructura bancaria penetrante. 

Billeteras móvilesCon el uso extenso de la banca móvil en el sector corporativo, los troyanos para Android comenzarán a atacar a los usuarios de estas aplicaciones.  En estas circunstancias, el método para distribuir troyanos seguirá siendo el mismo. 

En Rusia, la cantidad de la pérdida causada por el robo con el uso de los troyanos bancarios de Android ya ha superado la pérdida causada por las bancarrotas generadas desde computadoras personales

Para reducir costos y aumentar la eficiencia, los piratas informáticos seguirán alejándose del uso de inyecciones de páginas web en favor de la redirección de tráfico hacia sus servidores para interceptar y manipular datos de tráfico. 

Esto puede dar como resultado la creación de servicios para la automatización de la manipulación del procesamiento de datos de tráfico

La venta de tráfico desde los enrutadores puede crear un nuevo servicio que permitirá a los cibercriminales aumentar significativamente el número de ataques de phishing. 

Los usuarios serán redireccionados a páginas de los delincuentes durante períodos de tiempo especificados. En estas circunstancias, los servicios ofrecidos a las víctimas de mayor calidad se convertirán en especialmente populares. 

Los troyanos Android permitirán a los piratas informáticos llevar a cabo ataques mucho más eficientes a los usuarios de criptomonedas

Los métodos para identificar a los propietarios de billeteras móviles y obtener acceso a ellos serán idénticos a los utilizados para ciberataques en cuentas bancarias. 

Al principio, el número de intentos de extorsionar a los propietarios de servicios de criptomonedas crecerá debido a que los piratas informáticos representan una amenaza real.

Como resultado, muchos estafadores volverán a generar esquemas fraudulentos inactivos relacionados con "inversiones", "gestión de activos", "pirámides", etc.