Robos mediante hacking que vacían bancos franceses

1

Cajas fuertes bancarias, abiertas sin forzar la cerradura

Los robos en bancos ya no son lo que eran. Cosas como crear agujeros en paredes, desactivar cámaras de seguridad, acceder a salas seguras o abrir cajas fuertes…es cosa de los 90. El ladrón moderno necesita ciber-capacidades. Un RAT o Remote Acces Trojan (troyano de acceso remoto) es más efectivo que un agujero en la oficina del banco. ¿Y por qué romper cuando se puede transferir el dinero “sin cables”? Un grupo de bancos franceses acaban de comprobar la eficacia de estos robos de alta tecnología, que han sido documentados por Symantec.

Todo empezó con un simple mensaje de email que iba dirigido a un administrativo del banco VP que solicitaba la gestión de una factura. Dicha factura estaba alojada fuera de la compañía, en un sitio web de almacenamiento de archivos. El empleado debió haber dudado en ese momento. Sin embargo, minutos después el mismo empleado recibió una llamada “presuntamente” de un supervisor urgiéndole a que “autorizara” dicha factura. Engañado por la llamada telefónica, abrió el documento, lo que liberó el citado RAT dentro de la red del banco. El ataque de tipo spear phishing, unido a la sospechosa llamada de teléfono, ha despertado la curiosidad de los investigadores, que han descubierto cosas aún más alarmantes en otras empresas francesas.

Defensas vulneradas

En un post de su blog publicado hoy, Symantec revela como los atacantes consiguieron vulnerar todos los sistemas de seguridad de un banco para prevenir las fugas no autorizadas de dinero. Parece un caso a llevar a la gran pantalla.

Para los principiantes, podemos decir que emplearon un ataque de ingeniería social de dos vías destinado a “colar” un RAT o troyano dentro del sistema bancario, valiéndose del ordenador de un empleado corriente. El RAT recopila después información sobre la empresa, incluyendo el plan de contención y los detalles de proveedores telefónicos. Usando esta información robada los delincuentes “invocan” el “plan de contención” o “desastre” (medida tomada cuando se compromete la seguridad) alegando un desastre físico en la red. Esto les permite redirigir todos los teléfonos de la empresa hacia un nuevo conjunto de teléfonos bajo su control.

El siguiente paso fué enviar faxes hacia el banco para realizar múltiples transferencias de fondos a paraísos fiscales. Naturalmente, el representante del banco llama para confirmar la operación; los delincuentes interceptan la llamada y aprueban la transacción. Tan pronto como comprueban la transferencia, cortan la comunicación. ¡Fraude conseguido!

Symantec descubrió algunos otros casos, muchos de ellos menos sofisticados. Por ejemplo, un atacante simplemente llama al víctima y le comenta que el mantenimiento del sistema bancario, realizado mensualmente, requiere la desactivación del sistema de autenticación en dos pasos para que los fondos se transfieran temporalmente. Otro caso supuso informar a la víctima de que las actualizaciones del sistema requieren una “prueba de transferencia de fondos“; el test, sin embargo, transfiere fondos reales hacia un paraíso fiscal. Claramente, como solemos decir, el factor humano es el más vulnerable en la cadena de seguridad de un sistema.

¿Responsables?

Sabiendo la clase de “travesuras” que estaban teniendo lugar, el equipo de Symantec puso en marcha un sistema que llamaron “francofonado”. Consiguieron rastrear el tráfico hacia el centro de Comando y Control (servidor usado por los ciberdelincuentes) pasando por Ucrania y siendo originado desde IPs situadas en Israel.

Analizando las IPs usadas se encontraron dos situaciones extrañas. Primero, las direcciones procedían de un bloque asignado específicamente a tarjetas MiFi -radios de teléfonos GSM que permiten acceso a internet mediante la red telefónica móvil-. Segundo, estaban en constante cambio, lo que quiere decir que los ladrones estaban constantemente moviéndolas a través de diferentes torres de comunicaciones. Por eso, la compañía no era capaz de triangular la posición de estos objetivos móviles, siendo dichas conexiones aparentemente de “prepago” y haciendo imposible capturar a los delincuentes.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

1 comentario

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR