imágenes falsas
Los investigadores de IBM Trusteer dicen que han descubierto una operación de fraude masiva que utilizó una red de emuladores de dispositivos móviles para drenar millones de dólares de las cuentas bancarias en línea en cuestión de días.
La escala de la operación no se parecía a nada que los investigadores hayan visto antes. En un caso, los delincuentes utilizaron unos 20 emuladores para imitar más de 16.000 teléfonos pertenecientes a clientes cuyas cuentas bancarias móviles se habían visto comprometidas. En un caso separado, un solo emulador pudo falsificar más de 8.100 dispositivos, como se muestra en la siguiente imagen:
IBM Trusteer
Luego, los ladrones ingresaron nombres de usuario y contraseñas en aplicaciones bancarias que se ejecutan en los emuladores e iniciaron giros postales fraudulentos que desviaron fondos de las cuentas comprometidas. Los desarrolladores e investigadores legítimos utilizan emuladores para probar cómo se ejecutan las aplicaciones en una variedad de dispositivos móviles diferentes.
Para evitar las protecciones que los bancos utilizan para bloquear tales ataques, los delincuentes utilizaron identificadores de dispositivos correspondientes a cada titular de cuenta comprometido y ubicaciones de GPS falsificadas que se sabía que usaba el dispositivo. Las ID de dispositivo probablemente se obtuvieron de los dispositivos pirateados de los titulares, aunque en algunos casos, los estafadores dieron la apariencia de que eran clientes que estaban accediendo a sus cuentas desde teléfonos nuevos. Los atacantes también pudieron eludir la autenticación multifactor al acceder a los mensajes SMS.
Automatizar el fraude
“Esta operación de fraude móvil logró automatizar el proceso de acceso a cuentas, iniciar una transacción, recibir y robar un segundo factor (SMS en este caso) y, en muchos casos, usar esos códigos para completar transacciones ilícitas”, los investigadores de IBM Trusteer Shachar Gritzman y Limor Kessem escribió en un enviar
Cada vez que los delincuentes vaciaban una cuenta con éxito, retiraban el dispositivo falsificado que accedía a la cuenta y lo reemplazaban por uno nuevo. Los atacantes también recorrieron los dispositivos en caso de que fueran rechazados por el sistema antifraude de un banco. Con el tiempo, IBM Trusteer vio a los operadores lanzar distintas etapas de ataque. Una vez terminada una, los atacantes cerraban la operación, borraban los rastros de datos y comenzaban una nueva.
Los investigadores creen que las cuentas bancarias se vieron comprometidas mediante malware o ataques de phishing. El informe de IBM Trusteer no explica cómo los delincuentes lograron robar mensajes SMS e ID de dispositivos. Los bancos estaban ubicados en Estados Unidos y Europa.
Para monitorear el progreso de las operaciones en tiempo real, los delincuentes interceptaron las comunicaciones entre los dispositivos falsificados y los servidores de aplicaciones de los bancos. Los atacantes también utilizaron registros y capturas de pantalla para rastrear la operación a lo largo del tiempo. A medida que avanzaba la operación, los investigadores vieron evolucionar las técnicas de ataque a medida que los delincuentes aprendían de errores anteriores.
La operación genera los consejos de seguridad habituales sobre el uso de contraseñas seguras, aprender a detectar estafas de phishing y mantener los dispositivos libres de malware. Sería bueno si los bancos proporcionaran autenticación multifactor a través de un medio que no sea SMS, pero pocas instituciones financieras lo hacen. Las personas deben revisar sus extractos bancarios al menos una vez al mes para buscar transacciones fraudulentas.