Successfully reported this slideshow.
Social Engineering in Banking Trojans                  Attacking the weakest linkJose Miguel EsparzaMikel Gastesi
Agenda•   ¿Ingeniería Social?•   Ingeniería Social + Malware•   Inyecciones HTML•   Mercado Underground•   ¿Soluciones?
¿Ingeniería Social?• El arte de…  – …saber cómo llevar a las personas
¿Ingeniería Social?• …o cómo manipularlas
¿Ingeniería Social?• …para conseguir un objetivo  – Obtención de información  – Acceso a edificios / salas  – Poder  – Bie...
¿Ingeniería Social?• …para conseguir un objetivo  – Obtención de información  – Acceso a edificios / salas  – Poder  – Bie...
¿Ingeniería Social?• ¿Cómo?  –   Cara a Cara  –   Teléfono / SMS  –   Mail  –   …• ¿Quién lo usa?  –   Políticos  –   Vend...
¿Ingeniería Social?
¿Ingeniería Social?• Se aprovecha de la naturaleza humana  – Sentimientos / emociones / estados de ánimo  – Comportamiento...
¿Ingeniería Social?• Se aprovecha de la naturaleza humana  – Sentimientos / emociones / estados de ánimo     •   Tristeza ...
¿Ingeniería Social?• Se aprovecha de la naturaleza humana  – Sentimientos / emociones / estados de ánimo  – Comportamiento...
¿Ingeniería Social?• Se aprovecha de la naturaleza humana  – Sentimientos / emociones / estados de ánimo  – Comportamiento...
Ingeniería Social + Malware
Ransomware
Ransomware
Ransomware
Ransomware
Falsos antivirus
Troyanos bancarios•   Superposición de imágenes•   Aplicaciones con GUI•   Pharming•   WebFakes  Phishings•   Inyecciones...
Troyanos bancarios•   Superposición de imágenes•   Aplicaciones con GUI•   Pharming•   WebFakes  Phishings•   Inyecciones...
Troyanos bancarios•   Superposición de imágenes•   Aplicaciones con GUI•   Pharming•   WebFakes  Phishings•   Inyecciones...
Aplicaciones con GUI
Aplicaciones con GUI
Troyanos bancarios•   Superposición de imágenes•   Aplicaciones con GUI•   Pharming•   WebFakes  Phishings•   Inyecciones...
Troyanos bancarios•   Superposición de imágenes•   Aplicaciones con GUI•   Pharming•   WebFakes  Phishings•   Inyecciones...
Troyanos bancarios•   Superposición de imágenes•   Aplicaciones con GUI•   Pharming•   WebFakes  Phishings•   Inyecciones...
Inyecciones HTML
Inyecciones HTML
Inyecciones HTML VS WebFakes
Inyecciones - Funcionamiento (I)• Troyano  – Binario     • Genérico        – Keylogging, form-grabbing, etc.        – Robo...
Inyecciones - Funcionamiento (II)• Configuración  – Dónde inyectar  – Qué inyectar  – Cuándo inyectar: Flags     • G,P,L
Inyecciones - Funcionamiento (III)1.   ¿La URI es la buscada?2.   Obtener página3.   Buscar marca de inicio4.   Insertar i...
Inyecciones – Funcionamiento (y IV)
Autenticación                Teclado Virtual                                  Tarj. coordenadasID + Password              ...
Saltarse la autenticación• ID + Password + Password de operaciones
Saltarse la autenticación• Teclado Virtual  – No es necesaria la inyección
Saltarse la autenticación• 2FA: Tarjeta de coordenadas
Saltarse la autenticación• 2FA: SMS  – Incita al usuario a infectar su móvil     •   Siempre tras loguearse en el banco   ...
Saltarse la autenticación• ZeuS + componente móvil (I)
Saltarse la autenticación• ZeuS + componente móvil (y II)
Saltarse la autenticación• SpyEye + componente móvil (I)
Saltarse la autenticación• SpyEye + componente móvil (y II)
Saltarse la autenticación• 2FA: Token  – Ataque MitB  No es ingeniería social     • ¿Avisos de transferencia al móvil?  –...
Afectación por países
Afectación por sectores
Mercado Underground• Mercado de binarios• Mercado de inyecciones  – Estandarizadas  – Sólo inyecciones  – Full-package
Mercado Underground• Mercado de binarios• Mercado de inyecciones  – Estandarizadas  ZeuS & co. / SpyEye  – Sólo inyeccion...
Mercado Underground• Mercado de binarios• Mercado de inyecciones  – Estandarizadas  – Sólo inyecciones     •   Por países ...
Mercado Underground
Mercado Underground• Mercado de binarios• Mercado de inyecciones  – Estandarizadas  – Sólo inyecciones  – Full-package    ...
Mercado Underground
Mercado Underground• ¿Cómo se crean?  – Obtención código legítimo de la banca  – Creación inyección  – Testing
Mercado Underground• ¿Cómo se crean?  – Obtención código legítimo de la banca  – Creación inyección  – Testing
Mercado Underground• Obtención código legítimo de la banca  – Manual     • Login + Volcado página
Mercado Underground• Obtención código legítimo de la banca  – Automatizado     • Módulos específicos     • Archivo de conf...
Mercado Underground• Obtención código legítimo de la banca  – Automatizado     • Módulos específicos        – Tatanga     ...
Mercado Underground
Mercado Underground
Mercado Underground• Obtención código legítimo de la banca  – Automatizado     • Módulos específicos     • Archivo de conf...
Mercado Underground
Mercado Underground• ¿Cómo se crean?  – Obtención código legítimo de la banca  – Creación inyección  – Testing
Mercado Underground• ¿Cómo se crean?  – Obtención código legítimo de la banca  – Creación inyección  INGENIERIA SOCIAL!! ...
Mercado Underground• ¿Cómo se crean?  – Obtención código legítimo de la banca  – Creación inyección  – Testing     • Login...
¿Soluciones?• Detección / Prevención• Información / Cursos• El sentido común
¿Soluciones?• Detección / Prevención  – Cliente     • Comprobación estructura de la página (DOM)  – Servidor     • Parámet...
¿Soluciones?• Detección / Prevención
¿Soluciones?• Detección / Prevención• Información / Cursos• El sentido común
¿Soluciones?• Detección / Prevención• Información / Cursos• El sentido común
¿Soluciones?• Detección / Prevención• Información / Cursos• El sentido común…no es tan común
Conclusiones• Si el usuario puede hacer una transferencia,  siempre podrás engañarle para que te haga  una a ti.• ¿Cómo en...
¿Preguntas?
¡¡Gracias!!Mikel Gastesi   Jose Miguel Esparza  @mgastesi     @EternalTodo
Upcoming SlideShare
Loading in …5
×

José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: Attacking the weakest link [Rooted CON 2012]

2,076 views

Published on

La ingeniería social es el arte de obtener información confidencial a través de la manipulación de la persona que tiene ese conocimiento. La base de esta técnica es que las personas siempre suelen ser el eslabón más débil en un sistema securizado, ya que normalmente siempre hay una persona que sabe cómo acceder a él. La idea es que es más fácil manipular a una persona que al sistema en sí mismo. La banca online no es una excepción. En este caso, las personas más vulnerables son los propios usuarios, los clientes finales de los bancos, y el objetivo es acceder a sus cuentas. Para ello se utilizan troyanos bancarios, pero no se deja de lado la ingeniería social, sino que ésta aparece en forma de inyecciones HTML o redirecciones a sitios de phishing, siendo las primeras las más sofisticadas. Es impresionante ver cómo cada vez que un banco añade una barrera de seguridad ésta se salta sin problemas gracias a la ingeniería social y a la ingenuidad de los usuarios. Por lo tanto, ¿sigue siendo rentable invertir en medidas de seguridad sabiendo que no podemos controlar a los usuarios?¿existe alguna contramedida contra la ingeniería social?

  • Be the first to comment

José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: Attacking the weakest link [Rooted CON 2012]

  1. 1. Social Engineering in Banking Trojans Attacking the weakest linkJose Miguel EsparzaMikel Gastesi
  2. 2. Agenda• ¿Ingeniería Social?• Ingeniería Social + Malware• Inyecciones HTML• Mercado Underground• ¿Soluciones?
  3. 3. ¿Ingeniería Social?• El arte de… – …saber cómo llevar a las personas
  4. 4. ¿Ingeniería Social?• …o cómo manipularlas
  5. 5. ¿Ingeniería Social?• …para conseguir un objetivo – Obtención de información – Acceso a edificios / salas – Poder – Bienes materiales – Otros: ligar, pedir favores...
  6. 6. ¿Ingeniería Social?• …para conseguir un objetivo – Obtención de información – Acceso a edificios / salas – Poder – Bienes materiales – Otros: ligar, pedir favores (sexuales o no)…
  7. 7. ¿Ingeniería Social?• ¿Cómo? – Cara a Cara – Teléfono / SMS – Mail – …• ¿Quién lo usa? – Políticos – Vendedores / Comerciales – Delincuentes / Estafadores – Tú y yo
  8. 8. ¿Ingeniería Social?
  9. 9. ¿Ingeniería Social?• Se aprovecha de la naturaleza humana – Sentimientos / emociones / estados de ánimo – Comportamientos / personalidad
  10. 10. ¿Ingeniería Social?• Se aprovecha de la naturaleza humana – Sentimientos / emociones / estados de ánimo • Tristeza • Pena • Miedo • Rencor • Vergüenza • Felicidad • Amor • Esperanza – Comportamientos / personalidad
  11. 11. ¿Ingeniería Social?• Se aprovecha de la naturaleza humana – Sentimientos / emociones / estados de ánimo – Comportamientos / personalidad • Curiosidad • Inocencia • Honestidad • Generosidad • Gratitud • Avaricia
  12. 12. ¿Ingeniería Social?• Se aprovecha de la naturaleza humana – Sentimientos / emociones / estados de ánimo – Comportamientos / personalidad• Tendencia a confiar
  13. 13. Ingeniería Social + Malware
  14. 14. Ransomware
  15. 15. Ransomware
  16. 16. Ransomware
  17. 17. Ransomware
  18. 18. Falsos antivirus
  19. 19. Troyanos bancarios• Superposición de imágenes• Aplicaciones con GUI• Pharming• WebFakes  Phishings• Inyecciones HTML
  20. 20. Troyanos bancarios• Superposición de imágenes• Aplicaciones con GUI• Pharming• WebFakes  Phishings• Inyecciones HTML
  21. 21. Troyanos bancarios• Superposición de imágenes• Aplicaciones con GUI• Pharming• WebFakes  Phishings• Inyecciones HTML
  22. 22. Aplicaciones con GUI
  23. 23. Aplicaciones con GUI
  24. 24. Troyanos bancarios• Superposición de imágenes• Aplicaciones con GUI• Pharming• WebFakes  Phishings• Inyecciones HTML
  25. 25. Troyanos bancarios• Superposición de imágenes• Aplicaciones con GUI• Pharming• WebFakes  Phishings• Inyecciones HTML
  26. 26. Troyanos bancarios• Superposición de imágenes• Aplicaciones con GUI• Pharming• WebFakes  Phishings• Inyecciones HTML
  27. 27. Inyecciones HTML
  28. 28. Inyecciones HTML
  29. 29. Inyecciones HTML VS WebFakes
  30. 30. Inyecciones - Funcionamiento (I)• Troyano – Binario • Genérico – Keylogging, form-grabbing, etc. – Robo silencioso de datos – Fichero de configuración • Afectación concreta – Ataque personalizado a entidades – Interacción con el usuario
  31. 31. Inyecciones - Funcionamiento (II)• Configuración – Dónde inyectar – Qué inyectar – Cuándo inyectar: Flags • G,P,L
  32. 32. Inyecciones - Funcionamiento (III)1. ¿La URI es la buscada?2. Obtener página3. Buscar marca de inicio4. Insertar inyección5. Copiar desde la marca de fin6. Obtener datos, si los hay, con el formgrabbing
  33. 33. Inyecciones – Funcionamiento (y IV)
  34. 34. Autenticación Teclado Virtual Tarj. coordenadasID + Password 2FA OTP Token SMS : mTAN
  35. 35. Saltarse la autenticación• ID + Password + Password de operaciones
  36. 36. Saltarse la autenticación• Teclado Virtual – No es necesaria la inyección
  37. 37. Saltarse la autenticación• 2FA: Tarjeta de coordenadas
  38. 38. Saltarse la autenticación• 2FA: SMS – Incita al usuario a infectar su móvil • Siempre tras loguearse en el banco • Simula software de seguridad • Simula activación del mismo • Aprovecha el desconocimiento de la amenaza
  39. 39. Saltarse la autenticación• ZeuS + componente móvil (I)
  40. 40. Saltarse la autenticación• ZeuS + componente móvil (y II)
  41. 41. Saltarse la autenticación• SpyEye + componente móvil (I)
  42. 42. Saltarse la autenticación• SpyEye + componente móvil (y II)
  43. 43. Saltarse la autenticación• 2FA: Token – Ataque MitB  No es ingeniería social • ¿Avisos de transferencia al móvil? – Juguemos a “Simon dice…” Demo
  44. 44. Afectación por países
  45. 45. Afectación por sectores
  46. 46. Mercado Underground• Mercado de binarios• Mercado de inyecciones – Estandarizadas – Sólo inyecciones – Full-package
  47. 47. Mercado Underground• Mercado de binarios• Mercado de inyecciones – Estandarizadas  ZeuS & co. / SpyEye – Sólo inyecciones – Full-package
  48. 48. Mercado Underground• Mercado de binarios• Mercado de inyecciones – Estandarizadas – Sólo inyecciones • Por países y entidades • 60 WMZ/LR (WebMoney / Liberty Reserve) • Paquete: 700-800 WMZ/LR • Actualización / Modificación: 20 WMZ/LR – Full-package
  49. 49. Mercado Underground
  50. 50. Mercado Underground• Mercado de binarios• Mercado de inyecciones – Estandarizadas – Sólo inyecciones – Full-package • Alquiler de botnet + inyecciones • 400$??
  51. 51. Mercado Underground
  52. 52. Mercado Underground• ¿Cómo se crean? – Obtención código legítimo de la banca – Creación inyección – Testing
  53. 53. Mercado Underground• ¿Cómo se crean? – Obtención código legítimo de la banca – Creación inyección – Testing
  54. 54. Mercado Underground• Obtención código legítimo de la banca – Manual • Login + Volcado página
  55. 55. Mercado Underground• Obtención código legítimo de la banca – Automatizado • Módulos específicos • Archivo de configuración
  56. 56. Mercado Underground• Obtención código legítimo de la banca – Automatizado • Módulos específicos – Tatanga • Archivo de configuración
  57. 57. Mercado Underground
  58. 58. Mercado Underground
  59. 59. Mercado Underground• Obtención código legítimo de la banca – Automatizado • Módulos específicos • Archivo de configuración – ZeuS – SpyEye
  60. 60. Mercado Underground
  61. 61. Mercado Underground• ¿Cómo se crean? – Obtención código legítimo de la banca – Creación inyección – Testing
  62. 62. Mercado Underground• ¿Cómo se crean? – Obtención código legítimo de la banca – Creación inyección  INGENIERIA SOCIAL!! – Testing
  63. 63. Mercado Underground• ¿Cómo se crean? – Obtención código legítimo de la banca – Creación inyección – Testing • Login • Screenshots • Video  Tatanga, Citadel
  64. 64. ¿Soluciones?• Detección / Prevención• Información / Cursos• El sentido común
  65. 65. ¿Soluciones?• Detección / Prevención – Cliente • Comprobación estructura de la página (DOM) – Servidor • Parámetros adicionales • Páginas dinámicas  Evitar localización punto inyección
  66. 66. ¿Soluciones?• Detección / Prevención
  67. 67. ¿Soluciones?• Detección / Prevención• Información / Cursos• El sentido común
  68. 68. ¿Soluciones?• Detección / Prevención• Información / Cursos• El sentido común
  69. 69. ¿Soluciones?• Detección / Prevención• Información / Cursos• El sentido común…no es tan común
  70. 70. Conclusiones• Si el usuario puede hacer una transferencia, siempre podrás engañarle para que te haga una a ti.• ¿Cómo engañarías a un usuario por teléfono? Hazlo una vez que se ha logueado, utiliza una una web falsa, o incluso llámale.
  71. 71. ¿Preguntas?
  72. 72. ¡¡Gracias!!Mikel Gastesi Jose Miguel Esparza @mgastesi @EternalTodo

×