1. Héctor López
Fundador de la OMHE, Miembro de ISSA, ISACA,ACFE,
OPSEC, ACM, GIAC “SANS”,Antiphishing Working
Group, IAPP
hl@omhe.org
2. Disclaimer
• La presentación se brinda con fines de
aprendizaje para desarrollar la cultura en
seguridad informática y ayudar a prevenir los
delitos informáticos en el País.
• La OMHE no se hace responsable del mal
uso que se los asistentes puedan darle a la
información.
3. Objetivos
• Esta plática pretende brindar a la audiencia un
vista general sobre muchos diferentes vectores de
ataque que pueden llevar a un fraude bancario. Y
no cubre la totalidad de esta gran variedad de
técnicas.
4. Filosofía
• Misión: La OMHE es una organización de
profesionales multidisciplinarios comprometida a
promover y fortalecer la seguridad informática en
México, con el objetivo de dar a conocer la
importancia que tiene forjar una cultura en cuanto a
seguridad informática para asegurar un buen acceso,
manejo y distribución de la información en el país.
• Visión: Ser una organización reconocida a nivel
nacional que impulse y desarrolle la seguridad
informática y de igual manera promueva la educación
en la misma.
5. Antecedentes
• Se estiman más de 900 Millones de Dólares las
perdidas por fraude en México. - 6 % de estos son
por internet.
• 594 Millones de Pesos perdidos por fraudes en
internet.
7. Phishing
• En la computación, es un intento de obtener información
sensible como: usuarios, contraseñas, detalles de tarjetas de
credito y para realizar este fraude con éxito se hacen pasar
como entidades legítimas.
• Es una técnica de ingeniería social sin duda alguna.
• En USA: eBay, Paypal y Banco de América son algunos
ejemplos.
• En México: Banamex, Santander, Bancomer,
“Principalmente”.
8. IDN Spoofing
• Internationaliazed domain name IDN tiene unas
broncas.
• Para convertir de Unicode a ASCII se utilizan los
algoritmos ToASCII yToUnicode.
• Los DNS no pueden resolver cosas que no sean ASCII.
Los web browsers son los que hacen la conversión.
• Mozilla 1.4, Netscape 7.1, Opera 7.11 , Safari y hay un
parche para Explorer para dar IDN support.
• PoC : http://www.shmoo.com/idn/
9. IDN Homograph attack
IDN homograph attack
Ej.1www.paypal.com www.paypAI.com www.paypa1.com
Ej.2www.google.com www.g00gle.com
Ej.1 Primera correcta - segunda una i mayúscula, tercera un 1
Ej. Primera correcta - segunda doble cero
Esto hace que para el usuario sea transparente y lo engañan de manera inteligente.
10.
11. Proceso de registro de
dominio.
• Costo: 100 Pesitos
• bbva-mexico.com
• bbva-mexico.net
• bital-hsbc.com
• bovedabanamex.net
• serfin-santander.net
• serviciobanamex.com.mx
• Incluso el uso de subdominios: mx-gto.com
• banamex.mx-gto.com
12.
13. • Decimal – http://210.134.161.35/
• Dword – http:// 3532038435/
• Octal – http://0322.0206.0241.0043/
• Escape Encoding % y números hexadecimales
• Robo cookies SID
Encoding de la URL
14. • Como se expande el phishing?
• SPAM
• Click Monkeys
• Compre su lista para email marketing en algunos sitios
• Page Ranking
• Malware Browser Hijacking
• Esto hace que para el usuario sea transparente y lo
engañan de manera inteligente.
15. • Fake Banners en correos
• Bots en chats para hacer publicidad
• Browser Proxy Configuration Infection
• Hidden Frames
• TinyURL , SmallURL
16. MITM HTTPS Proxy
DNS Cache Poisoning ISP ó servidores DNS externos
a la compañía
Fraudes Bancarios
18. Phishing
• Como le hacen para pasar por el detector de
anti-phishing de algunos clientes de correo ?
• White y Black list un paradigma poco eficiente.
• XSS Cross-Site Scripting - El target es el usuario
no el website.
• h t t p : / / r . l y c o s . c o m / r /
bmgfly_gmsvlle_fd_dmb_comp
http://wk.fool.idv.tw/irs.php
• http://aol.com/redir.adp?_url=http://wk.fool.idv.tw/
irs.php
19. Phishing
• Como evitar el phishing:
• Usuarios:Ya no basta con checar el candadito,lo siento.
• Verificar la IP del banco usando un servidor DNS externo.
• El banco no te va a pedir tus datos cada 3 días
• Checar el certificado SSL cada vez que ingreso al portal de
banca electrónica.
• Quitarle capacidades de scripting a nuestro browser
• Anti-spam, Antivirus, Firewall, IDS Personal, Spyware
Detection
• Si el banco te envia correos..IGNORALOS.
• Token-basedAuthentication
• TOP-LEVEL-DOMAIN .bank
20. Pharming
• Redireccionar un website legítimo a otro falso.
• Generalmente involucra cambiar el host file de la máquina
atacada ó explotar vulnerabilidades del servidor DNS que
este siendo utilizado.
21. Pharming
• Insiders que cambian los DNS
• Alterar los DNS con malware
• Rogue DHCP Server
• Domain Hijacking - ejemplo msnm.com
• DNS ID con sniffing y con flood
22. Pharming
• Principal Problema:Tu antivirus, antispyware, firewall, IDS,
etc... No sirven para prevenir esto. Necesitas tener anti-
phishing tools.
• Windows XP,Vista y 2000: system32driversetc
• Linux : /etc/ y resolv.conf para cambiar DNS
• Mac osX: /private/etc
• Problema es Telmex que reparte equipos defectuosos 2wire
que contienen una vulnerabilidad de tipo XSRF que se usa
para DNS poisoning.
23. Anti DNS pinning
• Intención de quebrantar la SOP.
• Same Origin Policy - Política para Client-Side Scripting “Casi
siempre JS”
• Previene que un script cargado en un origen obtenga o
ponga propiedades en uno de otro origen.
• Origen: Mismo Dominio, Mismo protocolo.“Mismo Puerto”
• Ej. http://feliz.com quiere http://feliz.com/contento/ PASA
• Ej. http://feliz.com quiere https://feliz.com/ NO PASA
24. Anti DNS pinning
• Pocas Palabras. En determinado tiempo volver a pedir las
tablas de asignación - hostname/IP.
• Hace creer que su cache caduco y vuelve a pedir una
entradade DNS manipulada.
25. Anti DNS pinning PoC
Jumperz
• http://www.jumperz.net/index.php?i=2&a=1&b=7
• Con esto se puede hacer un retrieve completo de alguna
dirección de nuestra LAN...
• Ahora se entiende cual es la magnitud de esto ?
• Imaginen una postal de gusanito con un link abusando de
esto bajando la configuración de todos nuestros 2wires y
mandandolos a un log.
• Peor aun... No solo 2wires. Portales de Intranet de las
empresas con información sensible :P
26. DNS Pinning
• La solución al Anti- DNS Pinning que algunos le dicen DNS-
Rebinding.
• Hacer que el cache de asignación de nombres del browser
se guarde hasta que este se cierre.
27. Vishing
• Phishing overVoIP
• Utilizar la falta de seguridad en los sistemas deVoz sobre IP
para realizar fraudes bancarios usando.
• Caller ID Spoofing
• False Auto-attendant recordings
• Defcon - Asterisk Malevolente.
35. Problema
• Las personas dedicadas a la seguridad informática
(whitehats, grayhats ó blackhats) son los principales
creadores de atacantes
• Quién es más culpable? El que crea el arma, el que la usa ó
el que la vende ? UFF es difícil llegar a una conclusión
• Las herramientas de hacking pueden ser consideradas como
armas literalmente
• Las herramientas de seguridad informática necesitan
regulación, mi humilde opinión
• Debemos de prohibir los recursos a este tipo de personas
que no tienen consciencia sobre el daño que pueden causar
• LEYES: Hacking Law 202c implementada en alemania.
36. Motivos de una intrusión
• Dinero: Le pagan por hacerlo, ganará dinero con la
acción, venderá los archivos derivados de la
intrusión.
• Reto intelectual
• Poder
• Venganza
• Terrorismo
• Testing
37. Conclusiones
• Nada esta 100 % seguro.
• La seguridad NO es un producto - Es un PROCESO.
• La seguridad perimetral solo es el primer paso.
39. Capítulos de la OMHE
• Héctor López - Fundadorhl@omhe.org
• Pablo Morales - Outsourcing Instituciones Gubernamentalespm@omhe.org
• Ricardo Contreras - Gerente de proyectos en el extranjerorc@omhe.org
• Francisco Jaime - Presidente OMHE CapítuloGuanajuato fj@omhe.org
• Arturo Zamora - Presidente OMHE CapítuloTlaxcala az@omhe.org
• Mirsha Campos - Presidente de la OMHE CapítuloQuerétaromc@omhe.org
• JoséAlfonso Cuevas - Presidente OMHE CapítuloD.F jac@omhe.org
• Wilfredo Peralta - Presidente OMHE CapítuloTamaulipaswp@omhe.org
• AndrésValentín - Presidente OMHE CapítuloPuebla av@omhe.org
• David Schekaiban - Presidente OMHE CapítuloMonterreyds@omhe.org
• Abel Cabrera - Presidente OMHE CapítuloVeracruz ac@omhe.org