Estas son las nuevas técnicas usadas por los ciberdelincuentes para obtener credenciales bancarios

En los últimos años y desde su aparición la banca digital se ha convertido en uno de los métodos favoritos de la gente para la realización de transacciones, compras y otras operaciones. Esto ha animado a varios criminales a adaptarse y desarrollar nuevas técnicas o trucos con los que engañar a sus víctimas aprovechándose de su desconocimiento. Hace unos días tuvo lugar una reunión de la Asociación Europea para las Transacciones Seguras en la que intervinieron representantes de al menos 16 países. En la reunión se debatió acerca de las nuevas técnicas que están proliferando entre los criminales y del incremento de la ciberdelincuencia en los últimos años.

A continuación os contamos en qué consisten algunos de los fraudes más utilizados por los ciberdelincuentes durante el último año:

Fraudes con Apple Pay y wallets: Las carteras digitales se están convirtiendo en uno de los métodos de pago más utilizados en la actualidad lo que las convierte en un buen objetivo para los ladrones, que en muchos casos utilizan la ingeniería social o el phishing para obtener los códigos de seguridad de la tarjeta y poder realizar así varias transacciones. En ocasiones los criminales utilizan Apple Pay para registrar tarjetas robadas y realizar compras.

Suplantación de call centers: Otro de los métodos más utilizados y más efectivo durante el último año consiste en la suplantación del call center de entidades bancarias, en este caso el atacante llama a la víctima y solicita información personal o relativa a su cuenta.

Suplantación de páginas web: Esta práctica está aumentando exponencialmente en el continente asisiatico y es que suplantar páginas legítimas a través de las que se realizan compras es un buen negocio para los criminales (tanto para obtener datos bancarios e información como para cobrar por productos que nunca llegan a ser recibidos).

Figura 1: Clonador de tarjetas encontrado en un cajero por la policia.

Clonación de tarjetas: Esta práctica aunque compleja resulta increíblemente efectiva, los dispositivos de clonación y lectores de tarjetas son cada vez más sofisticados y difíciles de detectar cuando se sustituyen por los originales en algunas máquinas como cajeros.

Ataques físicos a cajeros: Al menos 10 países de la UE han alertado del aumento de este tipo de robos, los cuales suelen ser de carácter violento y generan grandes daños en el mobiliario que rodea el cajero extraído.

Hacking en cajeros: Esta técnica también se ha vuelto bastante popular, los ladrones utilizan dispositivos conocidos como “cajas negras” para engañar a los cajeros y obligarlos a dispensar dinero sin autorización.

Este nuevo ataque phishing permite bypassear 2FA

Desde hace unos años los dobles factores de autenticación nos han ayudado a proteger nuestra identidad digital de una forma rápida y sencilla. A pesar de la dura capa de seguridad que resultan ser los 2FA unos expertos han demostrado que no son completamente infalibles y es posible engañar a una víctima para que revele sus credenciales e incluso facilite su código OTP. Este ataque se demostró por primera vez en la conferencia Hack in the Box que tuvo lugar en pasado mes en Ámsterdam. El video de la demostración fue publicado en YouTube y busca resaltar el hecho de los ciberdelincuentes son cada vez mejores rompiendo las capas extra de seguridad a pesar de que usemos herramientas como 2FA.

El hack empleado en la demo para romper 2FA utiliza una combinación de dos potentes herramientas llamadas Muraena y NecroBrowser, las cuales trabajan en tándem para automatizar el ataque. La combinación de estas dos herramientas trabaja a la perfección ya que una realiza el ataque y la otra realiza un seguimiento de la sesión de la víctima. Muraena es la herramienta encargada de capturar el tráfico entre la víctima y el sitio web actuando como un proxy. Una vez que Muraena lleva a la víctima hasta una página falsa (de aspecto similar a la auténtica) solicitará a los usuarios sus credenciales y el código OTP, al igual que lo haría la página original. En cuanto Muraena ha autenticado la cookie de la sesión comienza el trabajo de NecroBrowser, una herramienta capaz de crear ventanas para mantener el seguimiento de miles de cuentas.

Figura 1: Demostración del ataque en la conferencia Hack in the Box

Su autor también ha publicado en GitHub una demostración del ataque para que otros desarrolladores puedan analizar cómo funciona detalladamente. Varios expertos en el ámbito de la ciberseguridad han asegurado que estas herramientas facilitan mucho el trabajo a los atacantes “amateur”. También han querido resaltar que no hay razones para perder la confianza en los dobles factores de autenticación o en la biometría ya que dificultan mucho el trabajo de los atacantes y son una mejor alternativa que utilizar únicamente un usuario y una contraseña. Independientemente del método que escojas para proteger tus cuentas desde Seguridad Apple queremos recordarte la importancia de una rápida actuación si sospechas que alguna de tus cuentas puede haberse visto comprometida.

Es posible involucrar a Siri en ataques de phishing

Recientemente los investigadores de la firma de ciberseguridad Wandera han logrado demostrar que es posible utilizar Siri para realizar ataques de Phishing. La realización de este tipo de ataques es posible gracias a una de las funcionalidades que incorpora el asistente de Apple desde iOS 9. La funcionalidad en cuestión trata de reconocer a las personas que llaman o envían mensajes y que no se encuentran en nuestra lista de contactos. Al hacerlo, Siri muestra en nuestra pantalla el mensaje “Quizás, nombre de la persona”. El problema surge cuando esto puede utilizarse para suplantar a empresas o entidades bancarias.

Como ha explicado James Mack, uno de los investigadores de Wandera que descubrieron la vulnerabilidad, hay dos formas de realizar este truco de ingeniería social. El primer método consiste en el envío de un correo falso suplantando a una empresa como “Acme Financial”, en el correo se incluye el número de teléfono con el que se llevará a cabo la estafa. En el caso de que la víctima responda el correo, ya sea voluntariamente o con un mensaje de respuesta automática cuando este número llame Siri mostrará el mensaje “Quizas: Acme Financial”. El segundo método es incluso más sencillo de llevar a cabo, basta con enviar un mensaje de texto. Si una entidad desconocida se identifica con un nombre propio en el mensaje entonces la función de Siri utilizará ese nombre para identificar ese contacto en mensajes posteriores.

Figura 1: Siri identifica número desconocido

Los atacantes pueden utilizar este disfraz como una ventaja a la hora de realizar un ataque phishing, ya sea llamando objetivo para “confirmar detalles de la cuenta” o enviando un enlace malicioso. Esta táctica aparentemente no funciona con ciertos términos como “Banco” o “Credit Unión”, sin embargo es posible utilizar el nombre de varias entidades bancarias o el nombre de algunas celebridades. Wandera reportó el problema como un fallo de seguridad a Apple el 25 de abril, pero la respuesta de la empresa californiana fue que no lo consideraban una vulnerabilidad y fue reclasificado como un fallo de software que esperaban resolver en posteriores actualizaciones.

Apple libera XCode 7.3.1 para solventar 2 bugs críticos

Apple ha liberado una nueva versión de XCode. XCode es utilizada por los desarrolladores de dispositivos Apple, el cual contiene 2 bugs críticos. La versión liberada es la 7.3.1 y parchea dos heap-based buffer overflow, los cuales podrían permitir a un potencial atacante ejecutar código arbitrario y poder tomar el control de la máquina. La versión liberada de XCode se encuentra disponible para OS X El Capitan 10.11 y posteriores. 

Apple ha puesto a disposición de los usuarios un boletín dónde se explican los detalles de la vulnerabilidad, así como el impacto de la vulnerabidad, y recomienda la actualización inmediata de la aplicación XCode. La mala gestión en el manejo de ficheros puede provocar la ejecución de código. Este tipo de ataques se denominan fileformat, ya que cuando una aplicación intenta procesar un fichero se lleva a cabo la explotación. Entran dentro del ámbito de los client-side attacks, ya que un atacante necesita la interacción del usuario para que el fichero sea abierto.

Figura 1: Publicación de Apple de XCode 7.3.1

Para detallar más las vulnerabilidades parcheadas en esta versión de XCode tenemos las siguientes:

• CVE-2016-2324.
• CVE-2016-2315.

Se puede obtener más información en el sitio web de Apple, dónde se puede descargar la nueva versión de XCode. La recomendación es la actualización inmediata del entorno y poder trabajar de forma segura.

Sidestepper puede abusar del protocolo MDM para distribuir malware en dispositivos iOS

El titular es muy claro: se puede abusar del protocolo MDM para distribuir malware en iOS 9 y versiones superiores. Esto quiere decir que incluso en la versión 9.3.1 se puede aprovechar este grave fallo. Según han comentado investigadores de Check Point el ataque bypassea las restricciones para el despliegue de aplicaciones en entornos corporativos o MDM introducido en iOS 9. En una presentación de Black Hat Asia que fue celebrada recientemente, los investigadores de Check Point demostraron que la comunicación entre los productos de gestión de datos y dispositivos iOS es susceptible a ataques Man in the Middle. 

Que la comunicación sea susceptible a ataques Man in the Middle supone que se puede secuestrar dicha comunicación con el fin de instalar malware en un dispositivo sin Jailbreak. La nueva vulnerabilidad ha sido bautizada como Sidestepper y permite a un atacante aprovecharse de las mejoras de seguridad de iOS 9 destinadas a proteger la instalación de aplicaciones empresariales maliciosas.

Estas mejoras de seguridad requieren, por ejemplo, que el usuario realice varios pasos en la configuración del dispositivo para poder confiar en un certificado de desarrollador y evitar así la instalación "accidental" de aplicaciones maliciosas. Sin embargo, para las aplicaciones corporativas que son instaladas a través de un MDM no se necesita utilizar este proceso y de esto es de lo que se abusa con Sidestepper. Los investigadores indicaron que habían descubierto que un atacante puede secuestrar e imitar las instrucciones del MDM contra un dispositivo iOS y de este modo instalar aplicaciones vía OTA.

Figura 1: Esquema MiTM sobre MDM

Por supuesto que las aplicaciones que se instalen de este modo deberán ir firmadas con certificado de desarrollador, pero ya abre una gran puerta a la posibilidad de instalar aplicaciones maliciosas a través de una debilidad de MDM en iOS. Además, hay que añadir que este tipo de brechas dan pie a una serie posibles leaks y acceso a información sensible de la empresa. Por supuesto, el ataque solo funciona contra dispositivos que estén registrados en un servidor MDM, aunque muchos dispositivos móviles utilizados en entornos empresariales lo son.

BackStab ha vuelto para los dispositivos iOS

La empresa Palo Alto Networks ha publicado el pasado lunes un informe dónde se habla de la vuelta de BackStab. En este informe se pueden encontrar detalles de cómo se realiza este ataque nuevamente. Este ataque es utilizado para robar información privada de los archivos de las copias de seguridad de los dispositivios móviles almacenados en el equipo de la víctima. En líneas generales, el paper publicado por la Unit 42 de la compañía explica cómo se utiliza el malware para infiltrarse remotamente en los equipos y ejecuta ataques BackStab de una nueva forma.

¿Para qué se utiliza este tipo de ataque? Se utiliza para capturar mensajes de texto, fotografías, datos de localización geográfica de las víctimas, y en definitiva cualquier información almacenada en el backup, es decir, que esté en el dispositivo móvil. Las configuraciones por defecto de la tienda de Apple es uno de los puntos que se aprovechan por este tipo de ataques. Tener acceso remoto a la máquina de las víctimas y acceder a los archivos de copia de seguridad no cifradas en ubicaciones fijas o conocidas es un factor importante.

Figura 1: Tipo de malware que utiliza BackStab

En el informe se enuncia que los equipos de seguridad deben darse cuenta que porque una técnica de ataque sea bien conocida, no significa que ya no sea una amenaza. Durante la investigación de Palo Alto se juntaron más de 600 ejemplares de malware a partir de 30 países en todo el mundo que fueron utilizados para llevar a cabo ataques BackStab remotos, dijo Ryan Olson director de Threat Intelligence en la empresa.

Las recomendaciones para los usuarios son diversas, y también se pueden leer del reporte generado por Palo Alto. A continuación se enumeran algunas:

• Los usuarios de iOS deben cifrar sus copias de seguridad locales o utilizar el sistema de copia de iCloud eligiendo contraseña segura y utilizando doble factor de autenticación.
• Los usuarios deben actualizar los dispositivos iOS a la versión más reciendo. Como pudimos ver hace poco esto se está llevando a cabo por parte de los usuarios. En la versión más reciente ya se crean copias de seguridad cifradas por defecto.
• Cuando se conecta un dispositivo iOS a un ordenador, los usuarios no deben hacer clic en el botón Trust cuando aparezca el cuadro de diálogo

Hacking Team creaba troyanos para iOS usando Masque

Esta es una de las noticias de la semana y es que se desveló que la gente de Hacking Team tenía la capacidad de comprometer dispositivos iOS sin Jailbreak utilizando una variante del famoso ataque Masque. Hay que recordar que el ataque Masque fue uno de los ataques que infectaron a dispositivos iOS a través de correos electrónicos y mensajes de texto. El leak ha sido extraído de los 400 GB de documentos que fueron expuestos tras la brecha de seguridad que tuvo Hacking Team.

Entre todos los datos filtrados de Hacking Team se encuentra que las principales plataformas móviles fueron atacadas. La investigación dada a conocer por FireEye en la conferencia BlackHat de este año se centró en los ataques contra iOS y Android, las dos plataformas más populares. 

¿Qué fue encontrado entre toda la información? En primer lugar se dispone de un sistema de control remoto iOS denominado agente RCS diseñado para introducirse en los dispositivos iOS con Jailbreak. Pero lo más sorprendente fue lo que se encontró referente a los ataques a iOS sin Jailbreak, encontrados en los archivos de correo electrónico de la empresa italiana.

El Ataque Masque

El ataque que utilizaba Hacking Team se aprovechaba de un defecto de seguridad, el cual fue parcheado el año pasado, que permitía ejecutar una aplicación iOS con el mismo nombre de archivo, independiente del desarrollador, y reemplazar una aplicación legítima. La aplicación maliciosa tiene que ser firmada por un certificado de empresa, diseñada para el despliegue de software a través de las empresas, con su provisioning profile, sin tener que pasar a través de la AppStore. El usuario debía hacer clic después del aviso, eso sí. Estos fueron conocidos como ataque Masque o Wirelurker.

Figura 1: Demostración de ataque Masque para reemplazar Gmail en iOS

El software Doppelgänger es una aplicación de control remoto desarrollada por Hacking Team que puede descargar aplicaciones para hacer el ataque Masque de un servidor remoto y tiene un panel de control para configurar el comportamiento malicioso de las aplicaciones instaladas en los dispositivos de las víctimas. Las versiones que se utilizaban como agentes suelen ser re-empaquetados de Skype, Twitter, Facebook Messenger, WhatsApp, Google Chrome, WeChat, etcétera.

Las aplicaciones trucadas cuentan con un binario adicional para extraer datos sensibles y comunicarse con el servidor remoto. Debido a que todos los identificadores de paquete son las mismas que las aplicaciones originales en la App Store, se puede sustituir directamente a las aplicaciones originales en los dispositivos iOS anteriores a la versión 8.1.3, versión en la que se solucionaba el fallo de seguridad.

Lo que Hacking Team tenía montado se puede considerar la primera infraestructura de ataque verdaderamente avanza que utilizaba el ataque Masque. Seguiremos atentos a posibles noticias respecto a esto, pero por lo que se ve la utilización de Masque era real, y no una simple prueba de concepto.