Seguridad informatica y el hacker Hector Lopez presentando la técnica detrás de los fraudes a los bancos

1. Héctor López
Fundador de la OMHE, Miembro de ISSA, ISACA,ACFE,
OPSEC, ACM, GIAC “SANS”,Antiphishing Working
Group, IAPP
hl@omhe.org

2. Disclaimer
• La presentación se brinda con fines de
aprendizaje para desarrollar la cultura en
seguridad informática y ayudar a prevenir los
delitos informáticos en el País.
• La OMHE no se hace responsable del mal
uso que se los asistentes puedan darle a la
información.

3. Objetivos
• Esta plática pretende brindar a la audiencia un
vista general sobre muchos diferentes vectores de
ataque que pueden llevar a un fraude bancario. Y
no cubre la totalidad de esta gran variedad de
técnicas.

4. Filosofía
• Misión: La OMHE es una organización de
profesionales multidisciplinarios comprometida a
promover y fortalecer la seguridad informática en
México, con el objetivo de dar a conocer la
importancia que tiene forjar una cultura en cuanto a
seguridad informática para asegurar un buen acceso,
manejo y distribución de la información en el país.
• Visión: Ser una organización reconocida a nivel
nacional que impulse y desarrolle la seguridad
informática y de igual manera promueva la educación
en la misma.

5. Antecedentes
• Se estiman más de 900 Millones de Dólares las
perdidas por fraude en México. - 6 % de estos son
por internet.
• 594 Millones de Pesos perdidos por fraudes en
internet.

6. Esquema actual de seguridad
SSL

7. Phishing
• En la computación, es un intento de obtener información
sensible como: usuarios, contraseñas, detalles de tarjetas de
credito y para realizar este fraude con éxito se hacen pasar
como entidades legítimas.
• Es una técnica de ingeniería social sin duda alguna.
• En USA: eBay, Paypal y Banco de América son algunos
ejemplos.
• En México: Banamex, Santander, Bancomer,
“Principalmente”.

8. IDN Spoofing
• Internationaliazed domain name IDN tiene unas
broncas.
• Para convertir de Unicode a ASCII se utilizan los
algoritmos ToASCII yToUnicode.
• Los DNS no pueden resolver cosas que no sean ASCII.
Los web browsers son los que hacen la conversión.
• Mozilla 1.4, Netscape 7.1, Opera 7.11 , Safari y hay un
parche para Explorer para dar IDN support.
• PoC : http://www.shmoo.com/idn/

9. IDN Homograph attack
IDN homograph attack
Ej.1www.paypal.com www.paypAI.com www.paypa1.com
Ej.2www.google.com www.g00gle.com
Ej.1 Primera correcta - segunda una i mayúscula, tercera un 1
Ej. Primera correcta - segunda doble cero
Esto hace que para el usuario sea transparente y lo engañan de manera inteligente.

11. Proceso de registro de
dominio.
• Costo: 100 Pesitos
• bbva-mexico.com
• bbva-mexico.net
• bital-hsbc.com
• bovedabanamex.net
• serfin-santander.net
• serviciobanamex.com.mx
• Incluso el uso de subdominios: mx-gto.com
• banamex.mx-gto.com

13. • Decimal – http://210.134.161.35/
• Dword – http:// 3532038435/
• Octal – http://0322.0206.0241.0043/
• Escape Encoding % y números hexadecimales
• Robo cookies SID
Encoding de la URL

14. • Como se expande el phishing?
• SPAM
• Click Monkeys
• Compre su lista para email marketing en algunos sitios
• Page Ranking
• Malware Browser Hijacking
• Esto hace que para el usuario sea transparente y lo
engañan de manera inteligente.

15. • Fake Banners en correos
• Bots en chats para hacer publicidad
• Browser Proxy Configuration Infection
• Hidden Frames
• TinyURL , SmallURL

16. MITM HTTPS Proxy
DNS Cache Poisoning ISP ó servidores DNS externos
a la compañía
Fraudes Bancarios

17. Complejo ?
• Cualquier persona malevolente puede aprender esto en
menos de 30 minutos.

18. Phishing
• Como le hacen para pasar por el detector de
anti-phishing de algunos clientes de correo ?
• White y Black list un paradigma poco eficiente.
• XSS Cross-Site Scripting - El target es el usuario
no el website.
• h t t p : / / r . l y c o s . c o m / r /
bmgfly_gmsvlle_fd_dmb_comp
http://wk.fool.idv.tw/irs.php
• http://aol.com/redir.adp?_url=http://wk.fool.idv.tw/
irs.php

19. Phishing
• Como evitar el phishing:
• Usuarios:Ya no basta con checar el candadito,lo siento.
• Verificar la IP del banco usando un servidor DNS externo.
• El banco no te va a pedir tus datos cada 3 días
• Checar el certificado SSL cada vez que ingreso al portal de
banca electrónica.
• Quitarle capacidades de scripting a nuestro browser
• Anti-spam, Antivirus, Firewall, IDS Personal, Spyware
Detection
• Si el banco te envia correos..IGNORALOS.
• Token-basedAuthentication
• TOP-LEVEL-DOMAIN .bank

20. Pharming
• Redireccionar un website legítimo a otro falso.
• Generalmente involucra cambiar el host file de la máquina
atacada ó explotar vulnerabilidades del servidor DNS que
este siendo utilizado.

21. Pharming
• Insiders que cambian los DNS
• Alterar los DNS con malware
• Rogue DHCP Server
• Domain Hijacking - ejemplo msnm.com
• DNS ID con sniffing y con flood

22. Pharming
• Principal Problema:Tu antivirus, antispyware, firewall, IDS,
etc... No sirven para prevenir esto. Necesitas tener anti-
phishing tools.
• Windows XP,Vista y 2000: system32driversetc
• Linux : /etc/ y resolv.conf para cambiar DNS
• Mac osX: /private/etc
• Problema es Telmex que reparte equipos defectuosos 2wire
que contienen una vulnerabilidad de tipo XSRF que se usa
para DNS poisoning.

23. Anti DNS pinning
• Intención de quebrantar la SOP.
• Same Origin Policy - Política para Client-Side Scripting “Casi
siempre JS”
• Previene que un script cargado en un origen obtenga o
ponga propiedades en uno de otro origen.
• Origen: Mismo Dominio, Mismo protocolo.“Mismo Puerto”
• Ej. http://feliz.com quiere http://feliz.com/contento/ PASA
• Ej. http://feliz.com quiere https://feliz.com/ NO PASA

24. Anti DNS pinning
• Pocas Palabras. En determinado tiempo volver a pedir las
tablas de asignación - hostname/IP.
• Hace creer que su cache caduco y vuelve a pedir una
entradade DNS manipulada.

25. Anti DNS pinning PoC
Jumperz
• http://www.jumperz.net/index.php?i=2&a=1&b=7
• Con esto se puede hacer un retrieve completo de alguna
dirección de nuestra LAN...
• Ahora se entiende cual es la magnitud de esto ?
• Imaginen una postal de gusanito con un link abusando de
esto bajando la configuración de todos nuestros 2wires y
mandandolos a un log.
• Peor aun... No solo 2wires. Portales de Intranet de las
empresas con información sensible :P

26. DNS Pinning
• La solución al Anti- DNS Pinning que algunos le dicen DNS-
Rebinding.
• Hacer que el cache de asignación de nombres del browser
se guarde hasta que este se cierre.

27. Vishing
• Phishing overVoIP
• Utilizar la falta de seguridad en los sistemas deVoz sobre IP
para realizar fraudes bancarios usando.
• Caller ID Spoofing
• False Auto-attendant recordings
• Defcon - Asterisk Malevolente.

28. Sitios con este tipo de
información
Ejemplo de una
PHPshell

29. Pharming
Ejemplo de una
PHPshell

30. Pharming

31. Pharming
Ejemplo de una
PHPshell

32. DNS ID Spoofing con
Sniffing

33. Rogue DHCP Server

34. Evolución Crimen
Organizado

35. Problema
• Las personas dedicadas a la seguridad informática
(whitehats, grayhats ó blackhats) son los principales
creadores de atacantes
• Quién es más culpable? El que crea el arma, el que la usa ó
el que la vende ? UFF es difícil llegar a una conclusión
• Las herramientas de hacking pueden ser consideradas como
armas literalmente
• Las herramientas de seguridad informática necesitan
regulación, mi humilde opinión
• Debemos de prohibir los recursos a este tipo de personas
que no tienen consciencia sobre el daño que pueden causar
• LEYES: Hacking Law 202c implementada en alemania.

36. Motivos de una intrusión
• Dinero: Le pagan por hacerlo, ganará dinero con la
acción, venderá los archivos derivados de la
intrusión.
• Reto intelectual
• Poder
• Venganza
• Terrorismo
• Testing

37. Conclusiones
• Nada esta 100 % seguro.
• La seguridad NO es un producto - Es un PROCESO.
• La seguridad perimetral solo es el primer paso.

38. Héctor López
VAMOS JUNTOS POR UN MÉXICO MÁS SEGURO
Libertad, Igualdad y Fraternidad :.
hl@omhe.org

39. Capítulos de la OMHE
• Héctor López - Fundadorhl@omhe.org
• Pablo Morales - Outsourcing Instituciones Gubernamentalespm@omhe.org
• Ricardo Contreras - Gerente de proyectos en el extranjerorc@omhe.org
• Francisco Jaime - Presidente OMHE CapítuloGuanajuato fj@omhe.org
• Arturo Zamora - Presidente OMHE CapítuloTlaxcala az@omhe.org
• Mirsha Campos - Presidente de la OMHE CapítuloQuerétaromc@omhe.org
• JoséAlfonso Cuevas - Presidente OMHE CapítuloD.F jac@omhe.org
• Wilfredo Peralta - Presidente OMHE CapítuloTamaulipaswp@omhe.org
• AndrésValentín - Presidente OMHE CapítuloPuebla av@omhe.org
• David Schekaiban - Presidente OMHE CapítuloMonterreyds@omhe.org
• Abel Cabrera - Presidente OMHE CapítuloVeracruz ac@omhe.org