ESET nos indica cuál es el top 5 de amenazas de robo de credenciales bancarias
En la constante búsqueda de ganancias económicas, los cibercriminales atacan directamente a donde los usuarios manejan su dinero, es decir, sus cuentas bancarias. El abanico de amenazas que puede utilizar un atacante con este objetivo es bastante amplio: desde una sencilla campaña de correo electrónico que con un enlace dirija a un sitio de phishing hasta diferentes familias de códigos maliciosos, con características particulares como el uso de Ingeniería Social, interceptación del tráfico de red, modificación del sistema, entre otras posibilidades.
Por ello, el Laboratorio de Investigación de ESET Latinoamérica indica cuál es el top 5 de amenazas dedicadas al robo de credenciales bancarias:
La Ingeniería Social. La familia Win32/Spy.Bancos tiene la finalidad de robar credenciales bancarias de entidades financieras. Utiliza protocolos como por ejemplo, FTP o SMTP para enviar los datos robados. Cuando un usuario recibe una muestra de este tipo de código malicioso y lo ejecuta, se abrirá en su dispositivo una ventana muy similar a un navegador web en lo que parece ser la página de una entidad financiera. Otras variantes de esta misma familia esperan que el usuario abra un navegador y quiera entrar a una página legítima de un banco. Este falso navegador no permite acceder a otras páginas web ni realizar otras actividades diferentes a ingresar los datos en los formularios falsos.
Modificaciones silenciosas del sistema. Hay otro tipo de amenazas bancarias que realizan cambios directamente sobre el sistema de manera “automática” cuando se inicia la computadora. La familia de amenazas detectada por las soluciones de ESET como Win32/Qhost modifica el archivo hosts del sistema para realizar un ataque de pharming local, redirigiendo a la víctima a sitios de phishing. Cuando se ejecuta el troyano, se conecta a una dirección URL remota desde la que descarga un archivo de texto por el cual reemplaza al archivo original, forzando al usuario al caer en un servidor falso la próxima vez que intente acceder a la banca electrónica. Win32/Spy.Banker es otra familia que inyecta un código malicioso de manera dinámica en determinadas páginas web; en el momento en que el usuario acceda a las mismas, esta información se envía a una dirección de correo electrónico con los datos de la víctima.
Troyanos para enmascarar la descarga de otras amenazas. Una de las características de los troyanos con mayor cantidad de detecciones es que son utilizados para descargar al equipo de la víctima otra amenaza que roba las credenciales bancarias o que intercepta los datos de las transacciones comerciales. La familia que más se propaga en Latinoamérica con este comportamiento es Win32/TrojanDownloader.Banload. Una vez que un usuario se ve infectado, esta amenaza realiza la descarga de otros códigos maliciosos que intentan robar las contraseñas de acceso a portales bancarios. Este tipo de amenazas simulan ser diferentes tipos de archivos, dentro lo más comunes documentos de ofimática, archivos PDF o fotografías.
Interceptación del tráfico de las transacciones. La familia Win32/TrojanDownloader.Waski, es utilizada para propagar otro troyano bancario detectado por las soluciones de ESET como Win32/Battdil. Esta familia, también conocida como Dyre, tiene la particularidad de vulnerar SSL haciéndole creer a los usuarios que están en un sitio web seguro y desviando todo el tráfico a servidores maliciosos para robar la información de la transacción.
Amenazas bancarias en Android y Windows de 64bits. De a poco se ha podido detectar un incremento en la aparición de familias enfocados en Android, así como en las últimas versiones de Windows. Por ejemplo la familia Android/Spy.Banker busca robar credenciales bancarias. Cuando el usuario descarga este tipo de aplicaciones maliciosas, se solicitarán permisos de administrador y una vez que se active, se elimina el ícono del menú principal y no permitirá que el usuario la pueda desinstalar. Por otra parte, los niveles de detección de la familia Win64/Spy.Banker no se comparan con las detecciones de su similar en 32 bits, es de esperarse que en la medida en que se masifique el uso de los sistemas operativos de 64 bits, crezcan estas detecciones.