Cómo unos hackers secuestraron todas las operaciones online de un banco
La manera de hackear un banco no dista mucho del método antiguo para robar uno. Básicamente consiste en entrar, conseguir el botín y salir. Pero un grupo de hackers innovadores hackearon un banco brasileño de una manera más integral y tortuosa.
Una tarde de fin de semana redirigieron a todos los clientes online del banco a sitios perfectamente reconstruidos; empleando phishing lograron que los clientes entregaran toda su información sin ningún impedimento.
Investigadores de la empresa de seguridad Kaspersky describen este como un caso sin precedente de fraude bancario de grandes proporciones, en donde básicamentesecuestraron todas las operaciones online de un banco.
A la 1 pm del 22 de octubre del año pasado, según afirman los investigadores, los hackers cambiaron los registros de nombres de dominios del sistema de 36 propiedades online del banco. Tomaron el control de los sitios web de escritorio y móvil para poder redirigir a los cliente a sitios de phishing. En pocas palabras, los hackers robaron las credenciales de inicio de sesión en sitios alojados en direcciones legítimas del banco. Los investigadores creen que los piratas informáticos incluso lograron secuestrar cajeros automáticos y puntos de ventas, de esta manera recolectaron datos de tarjetas de cualquier persona que la utilizara ese día por la tarde.
Dmitry Bestúzhev, uno de los investigadores de Kaspersky asegura que “todas las operaciones en línea del banco estaban bajo el control de los atacantes, esto se mantuvo así por un lapso de 5 a 6 horas”. Este investigador analizó el ataque en tiempo real, dado que el malware que afectaba a los clientes provenía de un dominio legítimo del banco. “todo el banco le pertenecía a los atacante durante ese lapso de tiempo”.
DNS Stress
Kaspersky no revelando el nombre del banco que fue atacado con redirecciones de DNS, solo se limitó a decir que es una importante compañía financiera brasileña con operaciones en los EE.UU. y las Islas Caimán, 5 millones de clientes, y más de $27 mil millones de dólares en activos. Los investigadores dicen que este hecho debe servir como un ejemplo a los bancos de todo el mundo – quienes deben considerar que la inseguridad en sus DNS podría ser una pesadilla total. “Se trata de una amenaza conocida en internet”, dice Bestúzhev. “Pero nunca habíamos visto que se explotara en una escala tan grande.”
El sistema de nombres de dominio o DNS, sirve como un protocolo fundamental de internet: traduce los nombres de dominio en caracteres alfanuméricos (como Google.com) a direcciones IP como 74.125.236.195, que representan las ubicaciones reales de las computadoras en dónde están alojados los sitios web u otros servicios.
Ya se habían visto ataque de este tipo; un grupo de hackers del ejército sirio alteró el registro DNS de The New York Times para redirigir a los visitantes a una página con su logotipo. Recientemente, el ataque de la botnet Mirai al proveedor de DNS Dyn dejó una parte importante de la web sin conexión, incluyendo Amazon, Twitter y Reddit.
Pero los atacantes del banco brasileño explotaron el DNS de manera más centrada y con fines de lucro. Con el dominio secuestrado, cualquier persona que visitara la URL del sitio web del banco, era redirigida a sitios de aspecto similar. Esos sitios incluso tenían certificados HTTPS válidos emitidos con el nombre del banco.
El secuestro fue tan completo que el banco no era capaz de enviar correos electrónicos. “Ni siquiera podían comunicarse con los clientes para enviar una alerta”. Aparte de la suplantación de identidad, los sitios falsificados también infectaban a las víctimas descargando malware que se disfrazaba como una actualización de seguridad para un complemento del navegador.
El troyano también incluía una función destinada a desactivar el software antivirus; para las víctimas infectadas, el ataque pudo haber ido más allá de las cinco horas que duró. Y partes del software malicioso incluía lengua portuguesa, dando a entender que los atacantes pueden haber sido brasileños.
Después de unas cinco horas, los investigadores de Kaspersky creen que el banco recuperó el control de sus dominios, probablemente llamando a las instituciones donde tenían sus registros y convenciéndoles de corregir los registros DNS.
¿Cuántos clientes del banco se vieron envueltos en el ataque DNS? Esto sigue siendo un misterio. Kaspersky dice que el banco no ha compartido esa información con la empresa de seguridad, ni ha revelado públicamente el ataque. Pero la empresa dice que es posible que los atacantes podrían haber recolectado cientos de miles o millones de datos de cuentas de los clientes, no sólo de su esquema de phishing y el malware, sino también de la redirección de cajeros y puntos de ventas.
La empresa a cargo del registro DNS del banco ha minimizado los datos proporcionados por Kaspersky. Negaron haber sido hackeados, pero si aceptaron haber sufrido algún tipo de ataque.
Kaspersky sostiene que para los bancos, el incidente debería servir como una clara advertencia para comprobar la seguridad de su DNS. Muchos bancos no gestionan sus propios DNS. Dejando esta labor en manos de terceros vulnerables.
Fuente: 1000Tips
Comentarios
Publicar un comentario