Troyano bancario falsea el balance de las cuentas

robadas para evitar ser detectado.

Se ha detectado una familia de troyanos que, adems de todas las
tcnicas habituales que usa el malware 2.0 para pasar desapercibido,
falsea el balance del usuario vctima una ve ha sido robado.
As, el afectado no puede detectar la falta de dinero en su cuenta a menos que analice un extracto
por algn otro medio que no sea su propio ordenador, o le sea devuelto algn recibo.
Es comn hoy en da que los troyanos inyecten campos adicionales en las pginas de los bancos
para "capturar" la tareta de coordenadas o las contrase!as secundarias que permiten el
movimiento del dinero. Es comn que se salten restricciones de todo tipo impuestas por los
bancos "teclados virtuales, ofuscaci#n, $%&...', destinadas a detener su avance. (asi todos tienen
t)cnicas de ocultaci#n sofisticadas que hacen que a pesar de los esfuer*os de las casas antivirus,
no sean detectados en su mayor parte. +a mayora tambi)n ofusca su c#digo para dificultar el
anlisis de los investigadores... +o que no es tan comn es que los troyanos, al robar, falseen el
balance de las cuentas del usuario, para que el usuario no detecte que el dinero ha sido
traspasado a otro lugar.
+a t)cnica que utili*a esta muestra observada es la misma que se suele usar para monitori*ar qu)
pgina est siendo visitada e inyectar los campos. Esto habitualmente se reali*a a trav)s de ,-$
",ro.ser -elper $bects' en /nternet Explorer. +os ,-$, al tener completo control sobre el 0$1
"0ocument $bect 1odel' de la pgina, pueden eludir entre otras restricciones el cifrado, e
inyectar en las pginas los campos que estimen oportuno. $curre de forma totalmente
transparente y sobre la pgina real al ser visitada por un sistema troyani*ado. Este mismo m)todo
se utili*a para falsear el balance real de la cuenta. As, el usuario no percibe que est siendo
robado. El troyano tambi)n se cuida de no dear la cuenta en nmeros roos, para evitar
igualmente ser detectado.
(uanto ms tiempo pase desapercibido el robo para la vctima, ms veces podr transferir
peque!as cantidades y pasar as tambi)n desapercibido para el banco. +os bancos, hoy en da,
tienen sistemas de alerta que avisan al usuario cuando se detectan movimientos que se salen del
patr#n habitual de su usuario.

Esto empe*aba a ser un problema para ciertos troyanos que reali*aban grandes
transferencias, pues los bancos advertan al usuario vctima de una posible estafa. (on estos
m)todos consiguen no hacer sonar nin!una alarma ni en el usuario ni en su banco.
2e ha informado de la difusi#n de este malware en toda Europa. Algunos lo han llamado
"#$%one, aunque parece una variante de 2ilent,an3er. El m)todo de infecci#n "esto s es
habitual' suele ser la visita a p!inas web le!timas infectadas, que intentan aprovechar
diferentes vulnerabilidades del navegador o del sistema operativo &indows para eecutar
c#digo y reali*ar su funci#n.
'dvierte (eoSecure) 'umenta tendencia mundial
de fraudes bancarios.
*l aumento en las transacciones bancarias en +nternet, la intercone,i-n
!lobal de los bancos, nuevos productos y la especialiaci-n del crimen
or!aniado, son las principales causas del aumento de los fraudes en
este sector.
(eoSecure advirti# que la nueva tendencia de fraudes de !ran impacto en la banca
multicanal, se denomina 4%a3e56un", la cual se refiere a ataques muy rpidos, de gran
coordinaci#n y de alto impacto financiero.
4En ve* de tener un ladr#n que est robando en las calles, hay un asaltante de bancos que se lleva
todo de una ve*", explica 7ernando 7uentes, 8erente de /nvestigaci#n y 0esarrollo de
(eoSecure.
+as instituciones propensas a sufrir este tipo de ataque son principalmente entidades financieras,
como bancos y organi*aciones ligadas al intercambio de valores.
+os bancos son atacados a trav)s de diversos canales, como /nternet, lneas telef#nicas, correos
electr#nicos y muchas veces con colaboraci#n interna de algn funcionario. 4Es un verdadero dolor
de cabe*a sufrir un robo de 920 :: millones en un fin de semana. 8enera un problema con los
seguros, con los clientes y con su imagen pblica", afirma 7uentes.
0entro de este clasificaci#n se encuentra tambi)n el llamado &ump50ump, que afecta a las
corredoras de bolsa. (onsiste en que el ciberdelincuente crea una cuenta, compra acciones
a ba.o precio, luego ingresa a cuentas de otros y comien*a a comprar grandes cantidades de una
determinada acci#n, aumentando artificialmente su valor. 9na ve* que el delincuente detecta que
ya ha ganado suficiente, retorna a su cuenta y vende las acciones que compr#, a un precio mucho
mayor que el real.
2egn el especialista de (eoSecure, la ra*#n por la cual la banca y otras instituciones
financieras estn siendo un blanco apetecido, se debe principalmente a que el sistema financiero
pertenece a una red global interconectada. +a informaci#n privada "&/;, nmeros de taretas,
nmeros de cuentas etc.' puede ser capturada en cualquier parte del mundo y no se tiene control
de lo que sucede en otros lugares. 4-oy en da, los fraudes a los bancos son ms violentos, ms
organi*ados y los ciberdelicuentes poseen me.ores recursos tecnol-!icos, lo que provoca un
fuerte impacto en la empresa afectada por un ataque", agreg# 7uentes.
http<==....antivirusgratis.com.ar=noticias=display.php>/0?@ABC
'r!entina) /obierno y bancos crean el dominio
0banco.ar0 para poner freno a las estafas.
1on este nuevo re!istro, revelado en e,clusiva a i2rofesional.com, se
buscar obstaculiar los fraudes virtuales contra los usuarios de home
ban3in!.
El 8obierno nacional y los bancos que operan en el pas comen*aron a trabaar esta semana en la
creaci#n de un dominio de /nternet especfico para las actividades bancarias en la Argentina, con
el obetivo de reducir los casos de estafas virtuales, conocidas en ingl)s como 4phishin!D.
2egn explic# a i&rofesional.com una fuente que participa en las negociaciones entre la (ancillera,
el rea del &oder Eecutivo encargado de administrar los dominios en la red, y los bancos, el nuevo
registro se llamara 4banco.arD.
+a idea es replicar la experiencia que comen*# hace casi un a!o con la actividad turstica, con el
dominio 4.tur.arD. En ese caso, se trat# de una iniciativa de la 2ecretara de %urismo y de la
(ancillera.
A ese registro pueden acceder todas las agencias de viaes habilitadas por el organismo de
turismo. El obetivo en ese caso fue proteger los derechos de los turistas, que podrn estar
seguros que estn contratando por /nternet a una agencia habilitada si la pgina .eb pertenece al
dominio .tur.ar.
(on respecto a los bancos, se buscar ofrecer una mayor transparencia en la actividad de los
usuarios de 4home ban3ingD por /nternet, y en especial poner un obstculo a los delincuentes que
arman y difunden estafas virtuales.
El dominio .tur.ar es administrado por (+1 'r!entina, organismo dependiente del 1inisterio de
6elaciones Exteriores y (ulto. Esta misma repartici#n participa en las negociaciones con los
bancos. +a fuente consultada no precis# cundo estar vigente el 4banco.arD, aunque resalt# la
buena predisposici#n de todas las partes involucradas en las conversaciones.
4fensiva delictiva
El 4phishingD es la capacidad de duplicar una pgina .eb para hacer creer al visitante que se
encuentra en el sitio .eb original, en lugar del falso. ;ormalmente, se utili*a con fines delictivos
enviando 4spamD e invitando acceder a la pgina se!uelo. El obetivo del enga!o es adquirir
informaci#n confidencial del usuario como contrase!as, taretas de cr)dito o datos financieros y
bancarios.
El usuario recibe as correos electr#nicos que, aparentando provenir de fuentes fiables "por
eemplo, entidades bancarias', intentan obtener datos confidenciales del usuario. &ara ello, suelen
incluir un enlace que, al ser pulsado, lleva a pginas .eb falsificadas.
0e esta manera, el usuario, creyendo estar en un sitio de toda confian*a, introduce la informaci#n
solicitada que, en realidad, va a parar a manos del estafador.
0esde el portal especiali*ado 2eguE/nfo se!alaron que 4existe un amplio abanico de soft.are y
aplicaciones de toda ndole que quedan clasificados dentro de la categora de robo de informaci#n
personal o financiera, algunas de ellas realmente compleas, como el uso de una ventana
Favascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuarioD.
Algunas de las caractersticas ms comunes que presentan este tipo de mensaes de correo
electr#nico son, segn 2eguE/nfo<
G "so de nombres de compa5as ya e,istentes. En lugar de crear desde cero el sitio .eb de
una compa!a ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen
corporativa y funcionalidad del sitio de .eb de una compa!a existente, con el fin de confundir an
ms al receptor del mensae.
G "tiliar el nombre de un empleado real como remitente del correo falso. 0e esta
manera, si el receptor intenta confirmar la veracidad del correo llamando a la compa!a, desde
)sta le podrn confirmar que la persona que dice hablar en nombre de la empresa trabaa en la
misma.
G 6irecciones web con la apariencia correcta. El correo fraudulento suele conducir al usuario
hacia sitios .eb que replican el aspecto de la empresa que est siendo utili*ada para robar la
informaci#n. En realidad, tanto los contenidos como la direcci#n .eb "96+' son falsos y se limitan
a imitar a los reales. /ncluso la informaci#n legal y otros enlaces no vitales pueden redirigir al
confiado usuario a la pgina .eb real.
G 7actor miedo. 4+a ventana de oportunidad de los defraudadores es muy breve, ya que una ve*
se informa a la compa!a de que sus clientes estn siendo obeto de este tipo de prcticas, el
servidor que aloa al sitio .eb fraudulento y sirve para la recogida de informaci#n se cierra en el
intervalo de unos pocos das. &or lo tanto, es fundamental para el defraudador el conseguir una
respuesta inmediata por parte del usuario. En muchos casos, el meor incentivo es amena*ar con
una p)rdida, ya sea econ#mica o de la propia cuenta existente, si no se siguen las instrucciones
indicadas en el correo recibido, y que usualmente estn relacionadas con nuevas medidas de
seguridad recomendadas por la entidadD.
"n caso local
Esta semana, el 8anco /alicia fue vctima de esta prctica. (lientes de esta entidad recibieron
un mail con un dominio similar al del banco y su logo con el siguiente texto<
4Estamos reali*ando tareas de actuali*aciones en nuestras bases de datos, en todas las
actuali*aciones de soft.are de nuestras bases de datos necesitamos su colaboraci#n de reingresar
a su cuenta home ban3ingD. +uego se informaba de una direcci#n en la Heb donde el usuario deba
cargar sus datos personales "nombre de sesi#n y contrase!a'.
El mail reflea un caso de esta prctica delictiva, que no cesa de aumentar en los ltimos a!os.
2egn el ltimo reporte de la empresa 2ymantec, difundido en abril, las herramientas de esta
prctica ilegal continan profesionali*ndose. /ncluso, los sitios de phishing en espa!ol ocupan el
quinto puesto a nivel mundial.
+os delincuentes aprovechan la expansi#n de la red, conformada por miles de millones de
usuarios, donde los blancos nunca se agotan. 2in embargo, los fraudes de phishing se han vuelto
ms sofisticados y los criminales han desarrollado 4una amena*a a la medida de cada usuarioD< el
fraude bancario es el delito informtico profesional ms habitual. +os criminales atacan al sistema
en su eslab#n ms d)bil< el cliente o, cada ve* ms, la computadora personal del mismo.
El nmero de credenciales, perfiles o informaciones personales que puede robar un criminal
depende de la cantidad de tiempo en que permanece activo un sitio de captura. A medida que los
bancos se volvieron igualmente eficaces que ellos para desmantelar los sitios de captura, los
criminales han desarrollado t)cnicas para frustrar estos servicios de desmantelamiento, cambiando
rpidamente entre cientos de sitios de captura, aplicando una t)cnica conocida como 4fastEfluxD
"fluo rpido'.
4En realidad, los criminales no desean obtener nmeros de taretas de cr)ditoI quieren dinero.
Actualmente, transformar las credenciales en dinero efectivo es la parte del proceso que ms
trabao conlleva y la ms riesgosa. +os nmeros de taretas de cr)dito robados generalmente se
intercambian en el mundo de la /nternet por un d#lar o menos, la p)rdida promedio por tareta es
ms de cien veces mayorD, explic# &hillip -allamE,a3er, cientfico Fefe de Jeri2ign, empresa
encargada de administrar dominios en /nternet "ver ms en nota relacionada'.
0aniel 1onasters3y, abogado especialista en nuevas tecnologas, apunt# por su parte a
i&rofesional.com que 4si bien no se conocen datos de personas que hayan sido vctimas de este
delito, esta modalidad ha crecido enormemente en nuestro pas en los ltimos mesesD.
El letrado, (E$ del portal /dentidad 6obada y socio del estudio de abogados %echla., record# que
4al no haber norma que obligue a denunciar estos hechos, los datos son parciales. 2e estima que
durante el a!o KCCL las entidades financieras de nuestro pas perdieron ACC millones de pesos
debido al robo de identidadD.
2revenciones
1onasters3y, socio de 9ispasec Sistemas 'r!entina, representantes en la Argentina de una
empresa espa!ola de seguridad informtica, advirti# que 4el riesgo que se corre al no tener
polticas preventivas sobre los fraudes electr#nicos es la p)rdida de confian*a por parte de los
clientes. El consumidor exige que su instituci#n bancaria difunda y eduque sobre estos t#picos. El
desconocimiento, lo nico que har es que los canales electr#nicos sean utili*ados con mayor
cautela y, en muchos casos, pasen a meor vidaD.
0el ltimo informe de la consultora 8artner se desprende que hubo un aumento del MCN en el
nmero de afectados por el phishing en los Estados 9nidos.
El mismo documento detalla que los damnificados por esta modalidad sufren p)rdidas cercanas a
los OAC d#lares, en promedio. 9n AL N de esos montos es recuperado por los consumidores y el
MM N restante es absorbido por los sitios de /nternet y los bancos.
2egn el experto en seguridad 0ancho 0anchev, el tiempo activo de un sitio de phishing cambia
mucho de pas a pas. &or eemplo, en %ai.an, el tiempo promedio segn el estudio es de :B
horas, mientras que en Australia es de una semana.
4Existe una normativa que impone a los bancos contar con mecanismos de seguridad informtica
que garanticen la confiabilidad de la operatoriaD, explic# 1onasters3y.
1onse.os
$as recomendaciones de Se!u:+nfo para evitar este tipo de estafa son las si!uientes)
G Evite el S2'; ya que es el principal medio de distribuci#n de cualquier mensae que intente
enga!arlo. &ara ello puede recurrir a nuestra secci#n de 2pam.
G %ome por regla general rechaar ad.untos y analiarlos an cuando se est) esperando
recibirlos.
< (unca hacer clic en un enlace incluido en un mensa.e de correo. 2iempre intente ingresar
manualmente a cualquier sitio .eb. Esto se debe tener muy en cuenta cuando es el caso de
entidades financieras, o en donde se nos pide informaci#n confidencial "como usuario, contrase!a,
tareta, &/;, etc.'.
< Sepa que su entidad, empresa, or!aniaci-n, etc., sea cual sea, nunca le solicitar
datos confidenciales por nin!=n medio, ni telef#nicamente, ni por fax, ni por correo
electr#nico, ni a trav)s de ningn otro medio existente. Es muy importante remarcar este punto y
en caso de recibir un correo de este tipo, ign#relo y=o elimnelo.
G $tra forma de saber si realmente se est ingresando al sitio original, es que la direcci-n web
de la p!ina deber comenar con https y no http, como es la costumbre. +a 2 final, nos da
un alto nivel de confian*a que estamos navegando por una pgina .eb segura.
G Es una buena costumbre verificar el certificado di!ital al que se accede haciendo doble clic
sobre el candado de la barra de estado en parte inferior de su explorador "actualmente algunos
navegadores tambi)n pueden mostrarlo en la barra de navegaci#n superior'.
< (o responder solicitudes de informaci-n que lle!uen por e:mail. (uando las empresas
reales necesitan contactarnos tienen otras formas de hacerlo, de las cuales ams ser parte el
correo electr#nico debido a sus problemas inherentes de seguridad.
G Si tiene dudas sobre la le!itimidad de un correo, llame por telfono a la compa5a a un
n=mero que conoca de antemano... nunca llame a los nmeros que vienen en los mensaes
recibidos.
G *l correo electr-nico es muy fcil de interceptar y de que caiga en manos equivocadas, por
lo que ams se debe enviar contrase!as, nmeros de taretas de cr)dito u otro tipo de
informaci#n sensible a trav)s de este medio.
G 6esulta recomendable hacerse el hbito de examinar los cargos que se hacen a sus cuentas o
taretas de cr)dito para detectar cualquier actividad inusual.
G "se antivirus y firewall. Estas aplicaciones no se hacen cargo directamente del problema pero
pueden detectar correos con troyanos o conexiones entrantes=salientes no autori*adas o
sospechosas.
G %ambi)n es importante que si usted conoce al!=n tipo de amenaa como las citadas, las
denuncie a la unidad de delitos informticos de su pas.
http<==....antivirusgratis.com.ar=noticias=display.php>/0?@K@@
$a avalancha de phisin! contra el 8anco
Santander se intensifica
$os ataques detectados a comienos de abril no han cesado.
+os ataques de phisin! al 8anco Santander detectados a comien*os de abril continan. +eos de
detenerse, en los ltimos das los ciberdelincuentes han intensificado su actividad al respecto,
segn han detectado los laboratorios de seguridad de / 6ata.
+os ataques de phising consisten en correos electr#nicos en los que se solicitan los datos de
acceso a banca online, con la excusa de supuestos 4mantenimientos regulares y procesos de
verificaci#nD. El enlace facilitado redirige a una copia prcticamente id)ntica de la pgina legtima
de la entidad bancaria, y una ve* la vctima introduce en ella sus datos de acceso, quedan a
disposici#n del atacante. / 6ata recomienda a los usuarios revisar siempre la direcci#n 96+ de la
pgina de acceso, lo nico que difiere de la .eb aut)ntica.
El phisin! bancario es una de las principales lacras actuales en /nternet. 0urante el primer
trimestre del a!o, los ataques de phising basados en temticas financieras fueron los terceros ms
habituales, tan s#lo por detrs de los relacionados con la salud y el .ebmail.
4+as entidades bancarias ams piden a sus usuarios que revelen sus datos de acceso. &or tanto,
en caso de recibir cualquier correo electr#nico de este tipo, elimnelo sin tan siquiera abrirloD,
afirma Forge de 1iguel, responsable de / 6ata +beria. 4Pltimamente, aprovechando la mayor
concienciaci#n de los usuarios frente al problema del phising, se ha producido una vuelta de
tuerca< ahora los estafadores piden los datos de acceso con la excusa de meorar la protecci#n
antiphisingD.
&ara estar protegido frente a estas y otras amena*as, es imprescindible contar con una soluci#n de
seguridad actuali*ada permanentemente.
(aptura de pantalla con los recientes ataques de phisin! al 8anco Santader. +a falsificaci#n se
detecta gracias a la 96+ "en lugar de ....gruposantander.es, figura la direcci#n
http<==linode.vcolo.com'.
$a compa5a
/ 6ata Security es una multinacional alemana con ms de KC a!os de experiencia en el mercado
de la seguridad en /nternet, pioneros en el campo de la protecci#n frente a virus. (on sede en
,ochum "Alemania', las soluciones de seguridad de / 6ata, tanto para el mercado de consumo
como para pymes y grandes empresas, estn disponibles en EE99, Fap#n, Alemania, 6eino 9nido,
7rancia, /talia, Espa!a, (anad, &olonia, (orea, -olanda, ,)lgica, Austria, 2uecia, -ungra y
+uxemburgo. 7ruto del /Q0 que la compa!a despliega en el desarrollo de sus soluciones, en los
ltimos cinco a!os 8 0ata ha recibido los ms prestigiosos premios internacionales como
proveedor de seguridad.
>isa anuncia nueva tar.eta con !enerador de
c-di!os inte!rado.
*vitar fraude en lnea. >isa intenta impedir los fraudes online con
tar.etas de crdito mediante una tar.eta de pa!o que !enera c-di!os de
se!uridad propios.
+a tareta ha sido denominada Jisa Europe e incorpora un generador de c#digos incrustado que
produce c#digos nicos. Estos c#digos deben utili*arse al reali*ar compras de ndole no personal o
presencialI es decir, aquellas reali*adas en /nternet, en donde el usuario debe entregar la
informaci#n de la tareta para poder efectuar el pago.
En estos casos, el sistema pedir al usuario marcar el c#digo personal en el teclado integrado de la
tareta, que entonces proporcionar el c#digo nico que se necesita para finali*ar la transacci#n.
Esto implica que aunque un intruso haya copiado la tareta, o incluso la informaci#n contenida en
esta, no podr efectuar una compra porque no tendrn la posibilidad de generar el c#digo nico,
informa Jisa en un comunicado.
&or el momento la nueva tareta ser lan*ada en un proyecto piloto. 2i )ste resulta exitoso,
diversos bancos europeos comen*arn a distribuir la tareta entre sus clientes.