A pesar de la facilidad de apuntar a la información bancaria y de tarjetas de crédito de usuarios individuales, los cibercriminales encuentran mayor vulnerabilidad en las tiendas minoristas para hacerlas víctima de sus prácticas cada vez más lucrativas. Así lo refleja el Resúmen de Cibercrimen de la compañía RSA, donde se declara al 2014 como el año de las violaciones en el punto de venta.
De acuerdo con este documento, las situaciones de vulnerabilidas se producen a través del método común de ataque e infección es aprovechar la conexión de acceso remoto del proveedor en el punto de venta (mediante RDP/VNC) para realizar un mantenimiento rutinario en el dispositivo. La mayoría de los atacantes de malware en los puntos de venta enumeran los procesos en ejecución y utilizan coincidencias de patrones (mayormente, RegEx) para identificar y extraer información sobre tarjetas de crédito de la memora del proceso en ejecución.
¿Cuáles son los malware más populares en el punto de venta?
El podium de los vencedores se distribuye de la siguiente manera:
1. Chewbacca: un troyano privado que incluye dos mecanismos de robo de datos distintos: un registrador de digitación genérico y un escáner de memoria diseñado para atacar específicamente sistemas de puntos de venta. Fue identificado como un posible agente de las violaciones que afectaron a las tiendas minoristas en 2014.
2. Backoff: en puntos de venta, incluye un registrador de digitación, un capturador de memoria y un recopilador de datos magnético Track1/Track2, con compatibilidad adicional con lectores de tarjetas magnéticas integrados en el teclado.
3. LusyPOS: incluye un recopilador de datos magnético Track1/Track2 que se comunica por la red TOR, lo que hace que las comunicaciones y los servidores C&C sean más difíciles de detectar.
Madura el malware para dispositvos móviles
La cantidad combinada de malware móvil y aplicaciones de alto riesgo alcanzó los dos millones, un crecimiento de 170,000 por mes. Indica este reporte, que durante el segundo trimestre de 2014, 85 % del mercado de dispositivos móviles estaba ocupado por Android, y el 98 % de la totalidad del malware afectó a usuarios con este tipo de dispositivos.
Entre los malware con mayor alcance en las plataformas móviles, destaca en este reporte de RSA el caso del Bot móvil de iBanking: un secuestrador de SMS diseñado para trabajar conjuntamente con troyanos bancarios. Fue descubierto en salas de conversación clandestinas por el Equipo de investigación de RSA en febrero de 2014, y cuyo código fuente filtrado reveló capacidades y mecanismos de protección contra SDK avanzados.
El bot cuenta con varias funciones, incluidas la enumeración de todas las aplicaciones instaladas en el dispositivo infectado, la recopilación de imágenes del dispositivo y la obtención de datos precisos de ubicación geográfica. Una función agregada es la creciente compatibilidad con entidades objetivo adicionales; un análisis reciente identificó casi 30 plantillas gráficas para iBanking.
El mercado clandestino se desarrolla
El mercado clandestino continúa desarrollándose, lo que permite a los estafadores contratar servicios externos con mayor facilidad. El Equipo de Investigación de RSA ha identificado tendencias notables en el transcurso del año: la emergencia de monedas específicas de foros (MUSD, UAPS, United Payment System); un sistema de pago anónimo y nuevo, conocido como LessPay; y una oferta y demanda que no sólo disminuye los costos de las credenciales, sino que también genera el advenimiento de una aplicación móvil para tiendas CC.
Los fraudes se adapta a la región
Una tendencia que parece ganar terreno es el fraude específico de cada región que está dirigido a una geografía o idioma en particular. Los países latinoamericanos están experimentando un aumento en el fraude financiero en 2014, con estafadores que comienzan a desarrollar una sofisticación en sus herramientas y sus métodos.
Entre los casos de fraudes latinoamericanos más relevantes estpa el Fraude de Bolware y Boleto. En julio de 2014, el Equipo de Investigación de RSA descubrió que una gran red de estafadores había afectado el popular método de pago Boleto en Brasil mediante la implementación de malware que se estima que facilita el robo de miles de millones de dólares de víctimas inocentes. Mientras el fraude de Bolware y Boleto continúa evolucionando como una versión “Onyx” de Bolware, también se detectó un método de infección de DNS no relacionado con malware que afectó las transacciones de Boleto.
1 comentario