Durante los ltimos das el mundillo de la lucha contra el malware ha sido testigo de la aparicin de una nueva generacin de troyanos financieros con un nivel de sofisticacin extremadamente elevado.

Segn lo que se puede leer en el ltimo informe trimestral de Finjan Cybercrime Intelligence Report, esta nueva generacin de troyanos demuestra de una manera bastante convincente que los creadores de malware tienen conocimientos precisos sobre cmo acta la industria financiera en trminos preventivos para evitar que sus clientes sufran quebrantos ocasionados por la contaminacin por malware.

Tal y como se describe en el informe, una de las muchas maneras que hay de tratar de contener transacciones de salida de capital de los productos financieros de las vctimas es la implantacin de controles de patrones comportamentales. En el argot es frecuente denominar a estos controles como de deteccin de actividad inusual, y bsicamente se trata de levantar alarmas y establecer bloqueos preventivos cuando se producen movimientos que no corresponden al patrn habitual del cliente. Si un cliente tiene dos transferencias peridicas mensuales de salida por importe de 500 y 1000 euros respectivamente, si se produjera una transferencia de salida de, por ejemplo, 3000 euros, esta operacin se considerara inusual, y lo normal es frenarla y solicitar al cliente una autorizacin adicional sobre la misma (obtenida , por ejemplo, tras consulta telefnica)

Esta nueva familia de troyanos financieros ataca al sistema donde ms le duele: tratando de anular los beneficios que aporta el anlisis de patrones comportamentales del cliente del que se alimentan los sistemas antifraude ms modernos. As, estos troyanos tienen capacidad para asegurar que el saldo contable de la vctima sea positivo, de que las transacciones no superen los lmites establecidos para la declaracin de actividad inusual y realizando movimientos de salida aleatorios, lo que complica la vida en extremo a los sistemas antifraude basados en umbrales y repetitibilidad de operaciones. En la pgina 5 del informe se puede ver cmo configurar el troyano para los exploradores ms habituales, as como establecer los umbrales mximos y mnimos a utilizar.

La cantidad a sustraer se calcula meticulosamente por el troyano usando, tal y como se muestra en la pgina sexta del informe, algunas variables de control para evadir la deteccin de los sistemas antifraude:

■Si la cantidad excede el lmite que tiene designado el usuario como mximo autorizado para transferir en el canal Internet, la operacin no se realiza.
■Se calcula la banda entre la cantidad mxima permitida y la mnima que origina saldo deudor del cliente.
■Se calcula un porcentaje determinado en esa banda.
■La cantidad final resulta de aplicar un factor aleatorio a las cantidades calculadas tras aplicar el porcentaje a la banda permitida.
■Una vez realizada la sustraccin, el troyano comunica a su centro de control los datos finales de la operacin, como la cantidad transferida, versin del explorador, lmites de operacin, nmeros de cuenta, etc.
■Para minimizar las posibilidades de que un usuario advierta en sus movimientos las operaciones fraudulentas, el troyano falsea los resultados mostrados en la banca a distancia, ocultando las operaciones fraudulentas y mostrando un saldo contable adulterado que no recoge las operaciones ilegtimas. En otras ocasiones, se manipula la cantidad a mostrar para que el usuario, en caso de tener muchos movimientos, lo tenga difcil para diferenciar las cantidades fraudulentas de las usuales.

El informe ejemplifica una operacin fraudulenta realizada en Postbank con esta ltima caracterstica:

Cdigo:
09:39:04 2009-08-24 GMT FJFAFJP1HAWOHNCAIN
NAME=POST1
USERHOST=postbank.de
USERACC=[REMOVED]
USERPASS=[REMOVED]
BALANS=2027.69
INET_LIMIT=15000.00
DISPO_LIMIT=7000.00
MAXBETRAG=
BLZ=60050101
TRUEAMOUNT=53,94
AMOUNT=8576,31
%DROP_BLZ%=|LBBW/BW-BANK STUTTGART|
%DROPNAME%=|xxx xxx|
%KONTONUMMER%=|1000000001|
%BLZ%=|60010070|
%C1%=|Ref Num 123456|
%C2%=|Ref Num 123456|
%C3%=|Ref Num 123456|
%C4%=|Ref Num 123456|
COMMENT: Tigr
EXINF=
DATE: 24.08.2009
VERSN: iexplore.exe 6.0.2900.2180
IP: 77.0.000.000
El troyano, en vez de mostrar en los movimientos la cantidad real de salida (8576,31 euros) inyecta en el navegador una cantidad irreal de 53,94 euros, lo que har ms difcil, por parte del usuario, advertir el carcter ilegtimo de la operacin. Con este mtodo, los investigadores estiman que del 11 de agosto al 26 de agosto se sustrajeron 193.606 euros, sobre 12.000 euros al da. Del 30 de agosto al 1 de septiembre se sustrajeron 42.527 euros, totalizando unos 21.000 euros por da. Con estos nmeros, se estima que anualmente se pueden sustraer con relativa comodidad del orden de 5 millones de euros. No est nada mal.

La proliferacin de estos troyanos es una mala noticia para todos menos para los amigos de lo ajeno. Malo para el bolsillo del usuario y su confianza en un canal que necesita inspirar confianza, y malo para los estrategas de seguridad en instituciones financieras, que tendrn que revisar detenidamente los mtodos estticos y comportamentales de deteccin de fraude.

Desde el punto del vista del usuario las acciones a tomar son mantener la cautela y ser extremadamente precavidos cuando operamos en Internet. Maneras de evitar contaminacin son, por ejemplo, no navegar sitios que no sean de nuestra confianza, hacer caso omiso a los correos no esperados, evitar la descarga y uso de software que no sea de confianza, y tratar por todos los medios de habilitar medios de deteccin de fraude alternativos, como las alertas al mvil. Si se tiene el conocimiento suficiente, emplear navegadores sobre mquinas virtuales es una opcin muy recomendable.

Desde el punto de vista de las instituciones financieras, paciencia, elevar a CAPEX casos de estudio con previsiones realistas y dotar partidas presupuestarias para mejorar los sistemas antifraude. Poner a la disposicin del cliente cuantos ms medios para que l mismo advierta operaciones inusuales es otra prctica recomendable. Este troyano en concreto ataca a instituciones alemanas, pero viendo esos nmeros tan jugosos, no me cabe duda de que atacar otros pases. Probablemente lo est haciendo ya.

Si alguien tiene dudas sobre cmo operar de manera segura en banca a distancia, que deje un comentario. En la medida de lo posible tratar de aportar mi granito de arena


Enlaces:
http://www.sahw.com/wp/archivos/2009...as-antifraude/
http://www.finjan.com/GetObject.aspx?ObjId=679
http://www.sahw.com/wp/archivos/2008...virtualizados/