¿Qué hay detrás de un ataque de banca online?
En la actualidad, la principal fuerza que mueve a los delincuentes informáticos es el lucro. El acceso a los sistemas de banca en Internet es la llave más directa y evidente al dinero de las compañías, y como consecuencia, a la posibilidad de robarlo.
No es sorprendente que los sistemas de acceso a la banca online se estén convirtiendo en un blanco cada vez más popular entre los delincuentes, según Kaspersky Lab.
Los sistemas de acceso remoto a la banca cuentan con una defensa integrada, con cuyo funcionamiento están bien familiarizados los usuarios y también los ciberdelincuentes. El uso de contraseñas, ficheros clave, llaves hardware y la limitación de acceso por dirección IP les da a los usuarios una falsa sensación de seguridad absoluta. Pero todas estas medidas por separado o en su conjunto no aumentan la seguridad si el equipo en que se ejecutan ya está comprometido. La contraseña se puede interceptar, el fichero clave se puede copiar y si los delincuentes crean un escritorio oculto, pueden utilizar la dirección IP original y la clave del software conectada por el contable.
Cómo afecta y cómo actuar tras el ataque
Según los analistas de Kaspersky Lab, si el programa malicioso ya se ha ejecutado, el ordenador está infectado, ya que con frecuencia el primer fichero es sólo un descargador. Los principales programas maliciosos que descargan el primer fichero se renuevan constantemente, para evitar que los detecten los antivirus. Se descargan programas legales configurados por los ciberdelincuentes para que se conecten con sus servidores. En esta situación los programas que llevan a cabo las acciones maliciosas quedan sin detectar.
Las pérdidas de la compañía causadas por este descuido pueden ser muy sensibles. Si en el ordenador que contiene información crítica se ha detectado un programa malicioso, hay tomar medidas inmediatas de reacción ante el incidente. Las compañías afectadas suelen tomar medidas de emergencia tras sufrir las consecuencias de los ataques: pérdidas financieras o pérdida del acceso a servicios críticos. En la mayoría de los casos, las medidas que toman para reaccionar ante estos incidentes resultan inefectivas y con frecuencia complican la investigación.
Como las variantes de los ataques pueden ser muchas, no existen métodos universales ni siempre efectivos de reaccionar ante los incidentes. Por ejemplo, en algunos casos apagar de inmediato el ordenador permite conservar los datos que el programa malicioso podría borrar definitivamente después de cierto tiempo. En otras situaciones, apagar el ordenador puede llevar a que se pierdan de la memoria operativa del ordenador datos imprescindibles para la investigación. Sólo un especialista de investigación de incidentes puede tomar la decisión correcta.
En cualquier caso, al surgir el primer indicio de ataque, es necesario desconectar de Internet y de la red corporativa los equipos que se sospeche estén comprometidos y optar por los servicios de especialistas en investigación de incidentes virales. Solo se pueden eliminar las consecuencias del incidente después de una investigación minuciosa.
En caso de que se use software legal sin adulterar, la única solución será que el sistema de seguridad notifique de forma obligatoria si se lanza un programa potencialmente indeseable. Los usuarios, sobre todo aquellos que trabajan con documentos financieros y otros documentos importantes, tienen que recordar que ningún sistema de seguridad puede brindar una protección absoluta. También hay que prestar atención a las notificaciones del sistema y el comportamiento anormal del ordenador y avisar al servicio de seguridad sobre todos los sucesos sospechosos.
Lo ideal sería que en los ordenadores usados para realizar pagos en el sistema de banca a distancia se usara el modo de prohibición predeterminada de software de terceros que no esté en la lista blanca. Lo mismo se aplica a los ordenadores en los que los usuarios corporativos trabajan con información importante.
Peculiaridades de los ataques bancarios
1. Los delincuentes usan trucos de ingeniería social para obligar a los usuarios a abrir el fichero malicioso: el personal que tiene acceso a la información comercial importante y a las finanzas de la compañía necesita formación sobre seguridad informática. En la compañía deben regir políticas de seguridad que reduzcan al mínimo el riesgo de infección de la red corporativa por una simple negligencia de sus empleados.
2. En los ataques selectivos contra blancos importantes pueden usarse nuevos exploits para vulnerabilidades aún no publicadas. En estos casos, los métodos comunes de detección de ataques, por ejemplo el IDS pueden resultar insuficientes. Pero los exploits zero day son demasiado caros para usarlos en ataques contra compañías comunes. Como regla, en estos casos se usan exploits para vulnerabilidades ya conocidas. En situaciones similares la defensa puede consistir en actualizar a tiempo el software (sobre todo MS Office y Java) y usar una solución de protección de buena calidad, con tecnologías modernas de defensa contra exploits.
3. Uso de software legal. Esta tendencia se está desarrollando activamente y en muchos ataques los ciberdelincuentes usan aplicaciones legítimas para obtener acceso remoto, descargar e iniciar ficheros maliciosos, etc. Los programas antivirus no detectan estos programas legales y la única tarea de los delincuentes al usarlos para sus objetivos es hacer que funcionen de forma camuflada. En este ataque resolvieron esta tarea mediante la modificación del fichero ejecutable del programa Remote Manipulator System, lo que nos permitió añadir la firma del fichero alterado a las bases antivirus.
