Ciberdelitos contra la Banca: Anatomía de un ataque MITB
1. Ciberdelitos contra la Banca
Raúl Diaz Parra
CISM, CEH, CHFI, ECSA, ISF ISO/IEC 27002, CEI
www.rauldiazparra.com
2. Conceptos Previos
Man-in-the-middle (MITM)
Intercepta las comunicaciones entre dos sistemas. Por ejemplo, en una transacción
HTTP el objetivo es la conexión TCP entre el cliente y servidor. El atacante divide la
conexión TCP original en 2 nuevas conexiones, una entre el cliente y el atacante y el
otro entre el atacante y el servidor. Una vez que la conexión TCP es interceptado, el
atacante actúa como proxy pudiendo leer, insertar y modificar los datos en
la comunicación interceptada.
2
3. Conceptos Previos
Man-in-the-browser (MITB)
Tiene mismo enfoque que el Man-in-the-middle, pero en este caso se utiliza
un troyano para interceptar y manipular las llamadas entre el ejecutable de
la aplicación (por ejemplo: el navegador o browser) y sus librerías.
3
4. Objetivo de MITB
Causar el fraude financiero mediante la manipulación de las transacciones de los
sistemas de Banca por Internet, incluso cuando se cuentan con otros factores de
autenticación (token).
4
5. Anatomía de Ataque
a transacciones bancarias
El computador es infectado con un Troyano previamente.
El troyano utiliza la técnica MITB para actuar como proxy entre el
navegador y sus librerías para modificar las transacciones que se
inician en él.
El explorador sigue mostrando las transacción originales del
usuario sin que se de cuenta del fraude que se va a generar.
La presencia de SSL ni autenticación de doble factor importan
para este tipo de ataque, ya que la generación de la transacción es
legítima.
Uno de los troyanos más peligrosos de este tipo de ataques es ZEUS
Trojan
5
9. Escenario de Ataque
El usuario quiere transferir 5000 USD de la cuenta “A” a la cuenta
“B”
El troyano altera la solicitud para modificarlo a una cantidad
diferente y cuenta diferente.
9
10. Escenario de Ataque
La aplicación bancaria solicita al usuario para confirmar la transacción
después de validarla.
El troyano altera la respuesta del banco y refleja los detalles
originales, aparecen los datos legítimos al usuario final quien confirma
la transacción.
10
12. Ciberdelitos Bancarios en el Perú
Según DIVINDAT se reportaron 420 denuncias en el
2010 y 800 denuncias en el 2011
Según ASBANC el monto robado por esta modalidad
en el 2010 y 2011 asciende a 4'862,000 nuevos soles y
208,000 USD
12