Malware bancario habitual en esta época del año: ¿cómo evitarlo?
malware bancario

En esta época del año son frecuentes los programas maliciosos bancarios y algunas buenas prácticas pueden evitarlos

Esta época del año es temporada de ataques y fraudes a las cuentas bancarias de los brasileños. Pero, existen buenas prácticas que pueden proteger a cualquier persona de técnicas de ingeniería social y malware financiero. En este post, encontrarás pautas para evitar caer en las trampas de las bandas cibernéticas.

Brasil es un país marcado por la presencia de diversos programas maliciosos bancarios y tácticas de ingeniería social, que son más comunes en esta época del año.

Los ciberdelincuentes recurren a mensajes SMS, correos electrónicos y portales falsos para obtener credenciales bancarias de usuarios desprevenidos. En la misma línea, crean malware que imita aplicaciones bancarias legítimas para robar datos y desviar fondos de las cuentas de sus objetivos.

Ingeniería social - Phishing

La barrera de entrada para engañar a un objetivo es mucho menor en comparación con la complejidad de desarrollar programas maliciosos. Por esta razón, muchas estafas comunes no implican software malicioso. En su lugar, buscan engañar a la víctima para que les proporcione la información necesaria para que otros accedan a su cuenta. Esta práctica se conoce técnicamente como phishing. A continuación detallamos cómo evitar estas estafas según el vector utilizado (mensaje SMS, mensajes de correo electrónico, portales falsos).

Mensajería SMS

Aunque en desuso para la comunicación interpersonal, los mensajes de texto siguen utilizándose ampliamente con fines legítimos. Las entidades financieras, por ejemplo, envían por SMS avisos sobre compras sospechosas, saldos y pagos de facturas. Como el acceso a este recurso está disponible para cualquier teléfono móvil, es el vector de ataque más sencillo para los delincuentes. Como la gente ya está acostumbrada a recibir mensajes legítimos del banco por este medio, no se sorprende cuando se encuentra con mensajes falsificados. El siguiente ejemplo ofrece algunas pistas sobre aspectos que delatan un mensaje falso.

Considera este mensaje:

El primer punto de atención en la imagen superior es el remitente: se trata de un número de móvil personal, incluido el prefijo (62). Compruebe los mensajes que envía su banco. El remitente no es un número de teléfono, sino una secuencia de 4 ó 5 dígitos aleatorios acompañados del prefijo del país (+55 para Brasil).

Analicemos el contenido en sí. Se trata de un mensaje que busca crear una sensación de alarma en el lector. Este es un punto común a todos los tipos de contacto fraudulento, independientemente del medio: se trata de aprovechar la sensación de urgencia para que la víctima no tenga tiempo de pensar si hay algo sospechoso en la comunicación.

No actúe a la desesperada. En caso de compras sospechosas, el comportamiento habitual del banco es bloquear la transacción si no llega confirmación del cliente. En una situación normal, no se autorizaría el cargo de 599,90 solo porque no hayas accedido a un enlace.

El enlace en sí es el siguiente consejo. Nunca haga clic en los enlaces que le envíen las entidades bancarias, ni siquiera en comunicaciones legítimas. El riesgo de hacer clic es siempre mayor que el tiempo que se pierde adoptando un método de comprobación alternativo (como comprobar manualmente la información en su aplicación, sitio web o mediante una llamada telefónica, por ejemplo).

Presta especial atención a las URL acortadas, como bit.ly o t.co. Se utilizan porque los mensajes de texto tienen un límite de caracteres. Además, tienen la ventaja de ocultar la URL real, que en muchos casos no tiene nada que ver con el sitio web de una institución legítima. Si tienes curiosidad morbosa, utiliza Virus Total o Any Run para acceder al contenido, pero nunca rell enes tus datos en estas direcciones.

Mensajes de correo electrónico y sitios web

Un mensaje de correo electrónico tiene varios campos que pueden escrutarse para determinar si la correspondencia es legítima o no. Esta práctica es técnica, por lo que está fuera del alcance de la población general - por eso los mensajes de phishing son tan eficaces en sus intentos de robar datos.

En lugar de adoptar un enfoque de investigación, recomendamos adoptar una postura de confianza cero. No acceda a contenidos enviados por correo electrónico, por legítimos que parezcan. Esto se aplica tanto a los enlaces como a los archivos adjuntos. Para los equipos de seguridad, herramientas como MX Toolbox proporcionan una interfaz que hace que la inspección de las cabeceras de correo electrónico sea más legible y fácil de usar.

Los correos electrónicos que pretenden comprometer cuentas bancarias no sólo se basan en malware, sino que también suelen utilizar páginas falsas. El siguiente ejemplo está tomado del portal PhishTank, que se centra en las URL denunciadas por phishing.

La complejidad del portal falso es baja: se trata de un simple formulario para rellenar los datos de la tarjeta de la víctima. Entre bastidores, una rutina Javascript envía la información rellenada a un destino controlado por el ciberdelincuente.

Evitar el phishing

La hoja de ruta para hacer frente a las técnicas de ingeniería social, independientemente de su vector, es conferir siempre la menor confianza posible. Esto se ejemplifica en los siguientes pasos:

  • No acceda nunca a ningún contenido de la comunicación: enlaces o archivos adjuntos, por ejemplo;
  • Nunca respondas a comunicaciones de mensajería, ya sea por correo electrónico o SMS;
  • Nunca facilites tus datos por ningún canal, sobre todo si no has sido tú quien ha iniciado la comunicación. ¿Te han llamado del banco preguntándote por tu CPF? Cuelga el teléfono y llama tú mismo al Centro de Atención Telefónica;
  • Si necesitas comprobar una compra indebida o bloqueada, utiliza la app de tu banco o llama al Centro de Atención Telefónica.

Evitar el malware bancario

Debido a la adopción masiva de smartphones, los brasileños tienden a interactuar con las actividades financieras a través de apps. Hay una app para acceder al banco, una app para comprar en la tienda digital favorita, etc. El enfoque de los delincuentes para atacar estos canales es similar al phishing, ya que se basa en el arte de engañar al objetivo - en este caso específico, mediante la difusión de aplicaciones falsas. Un ejemplo reciente cubierto por el portal Hacker News detalla una aplicación falsa del banco Itaú descubierta a finales de este mes (diciembre/2021). Los ciberdelincuentes crean una aplicación cuyo único propósito es acceder a los datos de las aplicaciones legítimas del teléfono y exfiltrarlos. El primer paso, al igual que para los mensajes de phishing, es crear algo que se haga pasar por legítimo.

Fuente: The Hacker News

El ejemplo anterior intenta imitar (aunque mal) una aplicación legítima del banco Itaú. La segunda pantalla muestra cómo funciona la aplicación maliciosa: se basa en que el usuario conceda permisos para acceder a datos confidenciales de otras aplicaciones. Aquí también te aconsejamos que adoptes una postura de confianza cero: sé prudente con los permisos que concedes. ¿No estás seguro de por qué una aplicación necesita acceder a una determinada funcionalidad? Deniega el permiso. ¿No sabes qué significa una determinada función (en el ejemplo de Hacker News, la aplicación maliciosa pedía acceso a funciones de accesibilidad de Android)? Deniega el permiso.

Nuestra recomendación general es tender siempre a la desconfianza. Esto se extiende también al origen de las apps que instalas. Evita el side-loading, nombre técnico para instalar apps fuera de Play Store y App Store. Si te han remitido a una web para instalar una app, búscala en la tienda de aplicaciones de tu teléfono en lugar de descargarla desde el dominio en cuestión. ¿Has encontrado un archivo .apk como medio para instalarla? Ignóralo y búscalo en la tienda de aplicaciones.

Conclusión

El medio menos tecnológico para las estafas financieras es la ingeniería social. Incluso en los casos en los que se crea software malicioso, es habitual que se disfracen de aplicaciones legítimas y requieran el permiso expreso del usuario para actuar maliciosamente. Explotar las vulnerabilidades 0-day de los móviles es competencia de grupos sofisticados y empresas de espionaje de ámbito nacional; no es habitual encontrar este tipo de ataques entre la población general y con el objetivo básico de robar datos bancarios, clonar tarjetas de crédito y realizar compras inapropiadas. Nuestro tono general para este informe es un consejo para varios tipos de ingeniería social y software malicioso: desconfíe, comparta la menor información posible y compruebe cualquier información transmitida a través de canales alternativos.

Si tu propio juicio falla, un software an tivirus puede servirte de salvaguarda. Los teléfonos móviles son una parte importante de nuestra vida cotidiana, por lo que protegerlos como hacemos con los ordenadores personales tiene todo el sentido del mundo.

IoC - Indicadores de compromiso

_lTAU_SINC/sincronizador

Nombre del paquete: com.app.packagesinkinstall

SHA256: 3500c50910c94c7f9bc7b39a7b194bac6137cef586281ee22f5439bb2d140480

Referencias

  1. https://thehackernews.com/2021/12/new-android-malware-targeting-brazils_27.html
  2. https://phishtank.org/phish_detail.php?phish_id=7373471
  3. https://mxtoolbox.com/EmailHeaders.aspx
  4. https://cisomag.eccouncil.org/new-malware-discovered-with-brazils-itau-unibanco-bank-app/
Etiquetas: , SEGURIDAD, , , BANCARIO, BANCARIO, SEGURIDAD ,

One Reply to "Hay malware bancario común en esta época del año y algunas buenas prácticas pueden evitarlo"

  1. definir regtech hace 1 año

    Profesionales, receptivos y deseosos de ofrecer la máxima calidad
    calidad

    Respuesta

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.

Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.