Fraude en tecnológias móviles

802 views
655 views

Published on

Charla: Fraude en tecnologías móviles, impartida por Mikel Gastesi y Álvaro del Hoyo de S21sec para el curso de Especialización de Dispositivos Móviles que tuvo lugar en la Facultad de Informática de la Universidad de A Coruña del 20 al 22 de Junio de 2012.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
802
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
53
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Fraude en tecnológias móviles

  1. 1. Fraude en Dispositivos MóvilesCurso Especialización Dispositivos MóvilesFacultad Informática, Universidad A Coruña20, 21 y 22 junio 2012 Autor: Álvaro Del Hoyo Mikel Gastesi Fecha: 21 Junio 2012
  2. 2. La información contenida en este documento es propiedad intelectual de S21sec. Cualquier modificación outilización total o parcial del contenido de este documento sin consentimiento expreso y por escrito de S21secestá estrictamente prohibida. La ausencia de respuesta a cualquier solicitud de consentimiento en ningún casodeberá ser entendida como consentimiento tácito por parte de S21sec autorizando utilización alguna.© Grupo S21sec Gestión, S.A.
  3. 3. // INDICE * 1 2 3 4 5 6Presentación Móviles en el Malware como Otros vectores Perjudicados Dudas y S21sec punto de mira vector de de ataque y perjuicios preguntas ataque
  4. 4. //01 Presentación S21sec *
  5. 5. S21secMultinacional especializada enservicios y tecnologías de seguridad.Protección frente a todo tipo deamenazas de ciberseguridad:Gestión Integralde la Seguridad Una prevención y12 años solución ante incidentesen el ámbito de laseguridad. 24x7x365
  6. 6. Expansión e internacionalización Trabajamos en proyectos en 26 países de Europa, Estados Unidos, Latinoamérica y Oriente Medio Partnerships comerciales en distintos países 6 oficinas internacionales 8 oficinas en España
  7. 7. Sectores a los que llegamos20% de las » » Administración pública. Alimentacióncompañías del índice » Sanidad.Dow Jones » Defensa. » Educación.Eurostoxx 50 » Infraestructuras críticas. » Energía. » Industria.90% » Farmacéutico.del sector financiero » Banca y finanzas. » Seguros. » Telcos e Internet.26 de las 35 » Medios de comunicación.compañías del IBEX » Entretenimiento. » Turismo. » Distribución y logística.
  8. 8. Un equipo especialista en seguridad295 personasProfesionales certificadosreconocidos a nivelinternacional.100%de nuestros profesionalesdedicados exclusivamentea la seguridad.
  9. 9. Nuestros centrosCentros y laboratorios pionerosespecializados en ciberseguridad: S21sec labs S21sec CERT S21sec intelligence center S21sec university
  10. 10. 295 20%ESPECIALISTAS en DE LAS COMPAÑÍASseguridad certificados DEL DOW JONES y reconocidos EUROSTOXX 50 SON internacionalmente CLIENTES DE S21SEC RECONOCIDA por ANALISTAS INTERNACIONALES Proyectos en como una de las mejores empresas a nivel internacional 26 PAISES La INNOVACIÓN como motor de negocio
  11. 11. //02 Móviles en el punto de mira *
  12. 12. En una sociedad hiperconectada…
  13. 13. …donde los dispositivos móviles se estánconvirtiendo en el epicentro…
  14. 14. …siendo una “mina de datos”… Pág. 14
  15. 15. …explotable de forma lícita… Social Local Mobile
  16. 16. …o también por los “enemigos de lo ajeno”…
  17. 17. …, que pueden de forma ilícita ganar dinero… • Llamadas/SMS • Robo y reventa premium • Robo identidad • SMS flooding • Proxies • Robo OTP bancos Datos Voz y personales mensajes y de negocio Acceso Todo en móvil uno Internet • Botnets • Spam • Click fraud • Black Hat SEO • DDOS • Pay per view
  18. 18. …e incluso lavar dinero y hasta financiar elterrorismo.
  19. 19. //04 Malware como vector de ataque *
  20. 20. Al tiempo que crece el número de apps…
  21. 21. …lo hace el malware en dispositivos móviles…
  22. 22. …especialmente en los Android,…
  23. 23. …aunque también en iPhones (y no sólo losrooteados)…
  24. 24. …y la complejidad del malware móvil tambiéncrece…
  25. 25. //04 Otros vectores de ataque *
  26. 26. Además de la falta de seguridad en los marketsde apps,…
  27. 27. …existen aplicaciones en otros sitios…
  28. 28. …pueden darse casos de fraude interno…
  29. 29. …la candidez humana…
  30. 30. …la ingeniería social…
  31. 31. …la deficiente legislación…
  32. 32. …las vulnerabilidades de los protocolos decomunicaciones…
  33. 33. …el uso no previsto de servicios de red…
  34. 34. …la falta de seguridad en sistemasasociados…
  35. 35. …e incluso las advanced persistent threats
  36. 36. //04 Perjudicados *
  37. 37. Perjuicios para usuarios… Spam Calidad Denegación TIC Servicio Robo Identidad y Proxy Fraude
  38. 38. …perjuicios para operadores Spam Integridad Reputación Redes y ServiciosNúmero teléfono Dirección IP Pérdida Atención recursos Cliente Fraude
  39. 39. …y perjuicios para terceros Spam Espionaje Blanqueo Industrial Capitales Robo Identidad y Click Fraud Fraude
  40. 40. Parte 2 Esquemas tradicionales// ÍNDICE SPAM SMShing* Vishing Botnet DDoS Información? Ataque orientado? Venta? Aplicaciones Malware SMS y llamadas Premium Advertising Ransomware¿? Credenciales OTP Terminología y FUD
  41. 41. //01 Esquemas tradicionales ¿Todavía hablamos del SPAM? *
  42. 42. SPAM
  43. 43. SMShing• Definición: SPAM o engaño por SMS
  44. 44. SMShing• Sí, sucede en la realidad!!
  45. 45. Más de lo mismo
  46. 46. Vishing• Definición: Engaño mediante una llamada telefónica – Tanto automatizado como manual• ¡Más viejo que la pana! Pura ingeniería social -Confiamos en las personas -No desconfiamos de amenazas que no conocemos -Pueden tener información nuestra• Sí, pero…. ¡Funciona! - Internet -No te fíes ni de tus vecinos!
  47. 47. //02 Botnets …controlados remotamente… *
  48. 48. Botnets• ¿Tendencia? Similar a los PCs• Pros: Al igual que en los PCs, el – Siempre encendido objetivo es tener el dispositivo – Siempre conectado controlado• Objetivos: – DDoS – Información / punto de entrada – PPI ? – Envío de SMS Premium, etc
  49. 49. //03 Aplicaciones (maliciosas o rogue) ¿Qué peligros corremos? *
  50. 50. Vectores de infección• Infección de aplicación maliciosa – Se engaña al usuario para que la instale Todavía no hemos visto infección mediante drive-by, pero ya hay pruebas de concepto.• Infección mediante aplicación legítima reempaquetada. – Markets alternativos y descargas desde sitios no confiables. En muchos casos, ¡por agarrados! – Control en los markets, etc, quedan fuera del ámbito de la charla de hoy ;)
  51. 51. Vectores de infección (II)• SMS malformados? – Las gestiona el sistema operativo – Tenemos aplicaciones de terceros• Bluetooth – Ingeniería social para infección – Espionaje • 1234 o 0000, ¿cuál eliges?• Códigos QR – Superponer pegatinas – ¡Es como sacar el buen vino buen precio!• NFC – ¿Quién querría poner un link? “Jesús Gonzalez” – El problema puede ser la implementación • Por ejemplo, abrir URL directamente
  52. 52. Jugando con NFC• Hackit ergo sum 2012, Abril 2012 – “Hacking the NFC credit cards for fun and debit ;)”, Renaud Lifchitz – http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES- 2012-rlifchitz-contactless-payments-insecurity.pdf – http://code.google.com/p/readnfccc/ • Reads NFC credit card personal data (gender, first name, last name, PAN, expiration date, transaction history...)
  53. 53. Números Premium• Envío silencioso de SMS a números Premium• Llamadas a números Premium
  54. 54. Números Premium (II)• …ni siquiera el malware es obligatorio…
  55. 55. Número Premium (III)• …pero es lo habitual
  56. 56. Advertising• Cobras por cada clic en tus banners de publicidad• ¿Incluso por número de visitas? – Entonces, que abran y hagan clic en tu página, ¿no?• Ejemplo – Flashback:• …aplica a los móviles del mismo modo
  57. 57. Advertising (II)
  58. 58. Advertising (y III)• …los nombres de los virus y amenazas, siempre todo tan claro… en fin!
  59. 59. Ransomware
  60. 60. Credenciales
  61. 61. //04 Robo del OTP Un ataque muy dirigido *
  62. 62. Historia• Érase una vez un pueblo navarro… …allá por finales de 2010…
  63. 63. El 2º factor de autenticación
  64. 64. El 2º factor de autenticación (II)
  65. 65. El 2º factor de autenticación (y III)• Componente móvil para los troyanos bancarios• Reenvío SMS POST a un servidor Web ¡Perdamos el miedo a destripar un .apk!
  66. 66. El 2º facto de autenticación• Batallitas – Bombardea su móvil – Espiar al que robas, viaja? – Clonado se SIM
  67. 67. //05 Cuestión de terminología Zitmo? Drive-by? *
  68. 68. Dudoso uso de la terminología …marketing? …buzz? …FUD? FUD: – Zeus for mobile Fear, Uncertainty and – SpyEye for android Doubt (miedo, – Citadel for mobile incertidumbre y duda) – Zitmo ¿? – Spitmo ¿? – Drive-by download ¿?: – ATS?
  69. 69. Conclusiones - Preguntas
  70. 70. GRACIASSPAIN MEXICO BRASIL UK USAwww.s21sec.com

×