• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Fraude en tecnológias móviles
 

Fraude en tecnológias móviles

on

  • 850 views

Charla: Fraude en tecnologías móviles, impartida por Mikel Gastesi y Álvaro del Hoyo de S21sec para el curso de Especialización de Dispositivos Móviles que tuvo lugar en la Facultad de ...

Charla: Fraude en tecnologías móviles, impartida por Mikel Gastesi y Álvaro del Hoyo de S21sec para el curso de Especialización de Dispositivos Móviles que tuvo lugar en la Facultad de Informática de la Universidad de A Coruña del 20 al 22 de Junio de 2012.

Statistics

Views

Total Views
850
Views on SlideShare
850
Embed Views
0

Actions

Likes
0
Downloads
44
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Fraude en tecnológias móviles Fraude en tecnológias móviles Presentation Transcript

    • Fraude en Dispositivos MóvilesCurso Especialización Dispositivos MóvilesFacultad Informática, Universidad A Coruña20, 21 y 22 junio 2012 Autor: Álvaro Del Hoyo Mikel Gastesi Fecha: 21 Junio 2012
    • La información contenida en este documento es propiedad intelectual de S21sec. Cualquier modificación outilización total o parcial del contenido de este documento sin consentimiento expreso y por escrito de S21secestá estrictamente prohibida. La ausencia de respuesta a cualquier solicitud de consentimiento en ningún casodeberá ser entendida como consentimiento tácito por parte de S21sec autorizando utilización alguna.© Grupo S21sec Gestión, S.A.
    • // INDICE * 1 2 3 4 5 6Presentación Móviles en el Malware como Otros vectores Perjudicados Dudas y S21sec punto de mira vector de de ataque y perjuicios preguntas ataque
    • //01 Presentación S21sec *
    • S21secMultinacional especializada enservicios y tecnologías de seguridad.Protección frente a todo tipo deamenazas de ciberseguridad:Gestión Integralde la Seguridad Una prevención y12 años solución ante incidentesen el ámbito de laseguridad. 24x7x365
    • Expansión e internacionalización Trabajamos en proyectos en 26 países de Europa, Estados Unidos, Latinoamérica y Oriente Medio Partnerships comerciales en distintos países 6 oficinas internacionales 8 oficinas en España
    • Sectores a los que llegamos20% de las » » Administración pública. Alimentacióncompañías del índice » Sanidad.Dow Jones » Defensa. » Educación.Eurostoxx 50 » Infraestructuras críticas. » Energía. » Industria.90% » Farmacéutico.del sector financiero » Banca y finanzas. » Seguros. » Telcos e Internet.26 de las 35 » Medios de comunicación.compañías del IBEX » Entretenimiento. » Turismo. » Distribución y logística.
    • Un equipo especialista en seguridad295 personasProfesionales certificadosreconocidos a nivelinternacional.100%de nuestros profesionalesdedicados exclusivamentea la seguridad.
    • Nuestros centrosCentros y laboratorios pionerosespecializados en ciberseguridad: S21sec labs S21sec CERT S21sec intelligence center S21sec university
    • 295 20%ESPECIALISTAS en DE LAS COMPAÑÍASseguridad certificados DEL DOW JONES y reconocidos EUROSTOXX 50 SON internacionalmente CLIENTES DE S21SEC RECONOCIDA por ANALISTAS INTERNACIONALES Proyectos en como una de las mejores empresas a nivel internacional 26 PAISES La INNOVACIÓN como motor de negocio
    • //02 Móviles en el punto de mira *
    • En una sociedad hiperconectada…
    • …donde los dispositivos móviles se estánconvirtiendo en el epicentro…
    • …siendo una “mina de datos”… Pág. 14
    • …explotable de forma lícita… Social Local Mobile
    • …o también por los “enemigos de lo ajeno”…
    • …, que pueden de forma ilícita ganar dinero… • Llamadas/SMS • Robo y reventa premium • Robo identidad • SMS flooding • Proxies • Robo OTP bancos Datos Voz y personales mensajes y de negocio Acceso Todo en móvil uno Internet • Botnets • Spam • Click fraud • Black Hat SEO • DDOS • Pay per view
    • …e incluso lavar dinero y hasta financiar elterrorismo.
    • //04 Malware como vector de ataque *
    • Al tiempo que crece el número de apps…
    • …lo hace el malware en dispositivos móviles…
    • …especialmente en los Android,…
    • …aunque también en iPhones (y no sólo losrooteados)…
    • …y la complejidad del malware móvil tambiéncrece…
    • //04 Otros vectores de ataque *
    • Además de la falta de seguridad en los marketsde apps,…
    • …existen aplicaciones en otros sitios…
    • …pueden darse casos de fraude interno…
    • …la candidez humana…
    • …la ingeniería social…
    • …la deficiente legislación…
    • …las vulnerabilidades de los protocolos decomunicaciones…
    • …el uso no previsto de servicios de red…
    • …la falta de seguridad en sistemasasociados…
    • …e incluso las advanced persistent threats
    • //04 Perjudicados *
    • Perjuicios para usuarios… Spam Calidad Denegación TIC Servicio Robo Identidad y Proxy Fraude
    • …perjuicios para operadores Spam Integridad Reputación Redes y ServiciosNúmero teléfono Dirección IP Pérdida Atención recursos Cliente Fraude
    • …y perjuicios para terceros Spam Espionaje Blanqueo Industrial Capitales Robo Identidad y Click Fraud Fraude
    • Parte 2 Esquemas tradicionales// ÍNDICE SPAM SMShing* Vishing Botnet DDoS Información? Ataque orientado? Venta? Aplicaciones Malware SMS y llamadas Premium Advertising Ransomware¿? Credenciales OTP Terminología y FUD
    • //01 Esquemas tradicionales ¿Todavía hablamos del SPAM? *
    • SPAM
    • SMShing• Definición: SPAM o engaño por SMS
    • SMShing• Sí, sucede en la realidad!!
    • Más de lo mismo
    • Vishing• Definición: Engaño mediante una llamada telefónica – Tanto automatizado como manual• ¡Más viejo que la pana! Pura ingeniería social -Confiamos en las personas -No desconfiamos de amenazas que no conocemos -Pueden tener información nuestra• Sí, pero…. ¡Funciona! - Internet -No te fíes ni de tus vecinos!
    • //02 Botnets …controlados remotamente… *
    • Botnets• ¿Tendencia? Similar a los PCs• Pros: Al igual que en los PCs, el – Siempre encendido objetivo es tener el dispositivo – Siempre conectado controlado• Objetivos: – DDoS – Información / punto de entrada – PPI ? – Envío de SMS Premium, etc
    • //03 Aplicaciones (maliciosas o rogue) ¿Qué peligros corremos? *
    • Vectores de infección• Infección de aplicación maliciosa – Se engaña al usuario para que la instale Todavía no hemos visto infección mediante drive-by, pero ya hay pruebas de concepto.• Infección mediante aplicación legítima reempaquetada. – Markets alternativos y descargas desde sitios no confiables. En muchos casos, ¡por agarrados! – Control en los markets, etc, quedan fuera del ámbito de la charla de hoy ;)
    • Vectores de infección (II)• SMS malformados? – Las gestiona el sistema operativo – Tenemos aplicaciones de terceros• Bluetooth – Ingeniería social para infección – Espionaje • 1234 o 0000, ¿cuál eliges?• Códigos QR – Superponer pegatinas – ¡Es como sacar el buen vino buen precio!• NFC – ¿Quién querría poner un link? “Jesús Gonzalez” – El problema puede ser la implementación • Por ejemplo, abrir URL directamente
    • Jugando con NFC• Hackit ergo sum 2012, Abril 2012 – “Hacking the NFC credit cards for fun and debit ;)”, Renaud Lifchitz – http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES- 2012-rlifchitz-contactless-payments-insecurity.pdf – http://code.google.com/p/readnfccc/ • Reads NFC credit card personal data (gender, first name, last name, PAN, expiration date, transaction history...)
    • Números Premium• Envío silencioso de SMS a números Premium• Llamadas a números Premium
    • Números Premium (II)• …ni siquiera el malware es obligatorio…
    • Número Premium (III)• …pero es lo habitual
    • Advertising• Cobras por cada clic en tus banners de publicidad• ¿Incluso por número de visitas? – Entonces, que abran y hagan clic en tu página, ¿no?• Ejemplo – Flashback:• …aplica a los móviles del mismo modo
    • Advertising (II)
    • Advertising (y III)• …los nombres de los virus y amenazas, siempre todo tan claro… en fin!
    • Ransomware
    • Credenciales
    • //04 Robo del OTP Un ataque muy dirigido *
    • Historia• Érase una vez un pueblo navarro… …allá por finales de 2010…
    • El 2º factor de autenticación
    • El 2º factor de autenticación (II)
    • El 2º factor de autenticación (y III)• Componente móvil para los troyanos bancarios• Reenvío SMS POST a un servidor Web ¡Perdamos el miedo a destripar un .apk!
    • El 2º facto de autenticación• Batallitas – Bombardea su móvil – Espiar al que robas, viaja? – Clonado se SIM
    • //05 Cuestión de terminología Zitmo? Drive-by? *
    • Dudoso uso de la terminología …marketing? …buzz? …FUD? FUD: – Zeus for mobile Fear, Uncertainty and – SpyEye for android Doubt (miedo, – Citadel for mobile incertidumbre y duda) – Zitmo ¿? – Spitmo ¿? – Drive-by download ¿?: – ATS?
    • Conclusiones - Preguntas
    • GRACIASSPAIN MEXICO BRASIL UK USAwww.s21sec.com