El documento describe cómo los trojanos bancarios utilizan técnicas de ingeniería social para robar información financiera de usuarios. Estas técnicas incluyen inyecciones HTML en páginas legítimas de bancos para engañar a los usuarios y obtener sus credenciales de acceso. Existe un mercado subterráneo donde se compran y venden estas herramientas de ingeniería social. La prevención requiere tanto medidas técnicas como educar a los usuarios para que no caigan en estas trampas.

1. Social Engineering in Banking Trojans
Attacking the weakest link
Jose Miguel Esparza
Mikel Gastesi

2. Agenda
• ¿Ingeniería Social?
• Ingeniería Social + Malware
• Inyecciones HTML
• Mercado Underground
• ¿Soluciones?

3. ¿Ingeniería Social?
• El arte de…
– …saber cómo llevar a las personas

4. ¿Ingeniería Social?
• …o cómo manipularlas

5. ¿Ingeniería Social?
• …para conseguir un objetivo
– Obtención de información
– Acceso a edificios / salas
– Poder
– Bienes materiales
– Otros: ligar, pedir favores...

6. ¿Ingeniería Social?
• …para conseguir un objetivo
– Obtención de información
– Acceso a edificios / salas
– Poder
– Bienes materiales
– Otros: ligar, pedir favores (sexuales o no)…

7. ¿Ingeniería Social?
• ¿Cómo?
– Cara a Cara
– Teléfono / SMS
– Mail
– …
• ¿Quién lo usa?
– Políticos
– Vendedores / Comerciales
– Delincuentes / Estafadores
– Tú y yo

8. ¿Ingeniería Social?

9. ¿Ingeniería Social?
• Se aprovecha de la naturaleza humana
– Sentimientos / emociones / estados de ánimo
– Comportamientos / personalidad

10. ¿Ingeniería Social?
• Se aprovecha de la naturaleza humana
– Sentimientos / emociones / estados de ánimo
• Tristeza
• Pena
• Miedo
• Rencor
• Vergüenza
• Felicidad
• Amor
• Esperanza
– Comportamientos / personalidad

11. ¿Ingeniería Social?
• Se aprovecha de la naturaleza humana
– Sentimientos / emociones / estados de ánimo
– Comportamientos / personalidad
• Curiosidad
• Inocencia
• Honestidad
• Generosidad
• Gratitud
• Avaricia

12. ¿Ingeniería Social?
• Se aprovecha de la naturaleza humana
– Sentimientos / emociones / estados de ánimo
– Comportamientos / personalidad
• Tendencia a confiar

13. Ingeniería Social + Malware

14. Ransomware

15. Ransomware

16. Ransomware

17. Ransomware

18. Falsos antivirus

19. Troyanos bancarios
• Superposición de imágenes
• Aplicaciones con GUI
• Pharming
• WebFakes  Phishings
• Inyecciones HTML

20. Troyanos bancarios
• Superposición de imágenes
• Aplicaciones con GUI
• Pharming
• WebFakes  Phishings
• Inyecciones HTML

21. Troyanos bancarios
• Superposición de imágenes
• Aplicaciones con GUI
• Pharming
• WebFakes  Phishings
• Inyecciones HTML

22. Aplicaciones con GUI

23. Aplicaciones con GUI

24. Troyanos bancarios
• Superposición de imágenes
• Aplicaciones con GUI
• Pharming
• WebFakes  Phishings
• Inyecciones HTML

25. Troyanos bancarios
• Superposición de imágenes
• Aplicaciones con GUI
• Pharming
• WebFakes  Phishings
• Inyecciones HTML

26. Troyanos bancarios
• Superposición de imágenes
• Aplicaciones con GUI
• Pharming
• WebFakes  Phishings
• Inyecciones HTML

27. Inyecciones HTML

28. Inyecciones HTML

29. Inyecciones HTML VS WebFakes

30. Inyecciones - Funcionamiento (I)
• Troyano
– Binario
• Genérico
– Keylogging, form-grabbing, etc.
– Robo silencioso de datos
– Fichero de configuración
• Afectación concreta
– Ataque personalizado a entidades
– Interacción con el usuario

31. Inyecciones - Funcionamiento (II)
• Configuración
– Dónde inyectar
– Qué inyectar
– Cuándo inyectar: Flags
• G,P,L

32. Inyecciones - Funcionamiento (III)
1. ¿La URI es la buscada?
2. Obtener página
3. Buscar marca de inicio
4. Insertar inyección
5. Copiar desde la marca de fin
6. Obtener datos, si los hay, con el formgrabbing

33. Inyecciones – Funcionamiento (y IV)

34. Autenticación
Teclado Virtual
Tarj. coordenadas
ID + Password
2FA OTP Token
SMS : mTAN

35. Saltarse la autenticación
• ID + Password + Password de operaciones

36. Saltarse la autenticación
• Teclado Virtual
– No es necesaria la inyección

37. Saltarse la autenticación
• 2FA: Tarjeta de coordenadas

38. Saltarse la autenticación
• 2FA: SMS
– Incita al usuario a infectar su móvil
• Siempre tras loguearse en el banco
• Simula software de seguridad
• Simula activación del mismo
• Aprovecha el desconocimiento de la amenaza

39. Saltarse la autenticación
• ZeuS + componente móvil (I)

40. Saltarse la autenticación
• ZeuS + componente móvil (y II)

41. Saltarse la autenticación
• SpyEye + componente móvil (I)

42. Saltarse la autenticación
• SpyEye + componente móvil (y II)

43. Saltarse la autenticación
• 2FA: Token
– Ataque MitB  No es ingeniería social
• ¿Avisos de transferencia al móvil?
– Juguemos a “Simon dice…”
Demo

44. Afectación por países

45. Afectación por sectores

46. Mercado Underground
• Mercado de binarios
• Mercado de inyecciones
– Estandarizadas
– Sólo inyecciones
– Full-package

47. Mercado Underground
• Mercado de binarios
• Mercado de inyecciones
– Estandarizadas  ZeuS & co. / SpyEye
– Sólo inyecciones
– Full-package

48. Mercado Underground
• Mercado de binarios
• Mercado de inyecciones
– Estandarizadas
– Sólo inyecciones
• Por países y entidades
• 60 WMZ/LR (WebMoney / Liberty Reserve)
• Paquete: 700-800 WMZ/LR
• Actualización / Modificación: 20 WMZ/LR
– Full-package

49. Mercado Underground

50. Mercado Underground
• Mercado de binarios
• Mercado de inyecciones
– Estandarizadas
– Sólo inyecciones
– Full-package
• Alquiler de botnet + inyecciones
• 400$??

51. Mercado Underground

52. Mercado Underground
• ¿Cómo se crean?
– Obtención código legítimo de la banca
– Creación inyección
– Testing

53. Mercado Underground
• ¿Cómo se crean?
– Obtención código legítimo de la banca
– Creación inyección
– Testing

54. Mercado Underground
• Obtención código legítimo de la banca
– Manual
• Login + Volcado página

55. Mercado Underground
• Obtención código legítimo de la banca
– Automatizado
• Módulos específicos
• Archivo de configuración

56. Mercado Underground
• Obtención código legítimo de la banca
– Automatizado
• Módulos específicos
– Tatanga
• Archivo de configuración

57. Mercado Underground

58. Mercado Underground

59. Mercado Underground
• Obtención código legítimo de la banca
– Automatizado
• Módulos específicos
• Archivo de configuración
– ZeuS
– SpyEye

60. Mercado Underground

61. Mercado Underground
• ¿Cómo se crean?
– Obtención código legítimo de la banca
– Creación inyección
– Testing

62. Mercado Underground
• ¿Cómo se crean?
– Obtención código legítimo de la banca
– Creación inyección  INGENIERIA SOCIAL!!
– Testing

63. Mercado Underground
• ¿Cómo se crean?
– Obtención código legítimo de la banca
– Creación inyección
– Testing
• Login
• Screenshots
• Video  Tatanga, Citadel

64. ¿Soluciones?
• Detección / Prevención
• Información / Cursos
• El sentido común

65. ¿Soluciones?
• Detección / Prevención
– Cliente
• Comprobación estructura de la página (DOM)
– Servidor
• Parámetros adicionales
• Páginas dinámicas  Evitar localización punto inyección

66. ¿Soluciones?
• Detección / Prevención

67. ¿Soluciones?
• Detección / Prevención
• Información / Cursos
• El sentido común

68. ¿Soluciones?
• Detección / Prevención
• Información / Cursos
• El sentido común

69. ¿Soluciones?
• Detección / Prevención
• Información / Cursos
• El sentido común…no es tan común

70. Conclusiones
• Si el usuario puede hacer una transferencia,
siempre podrás engañarle para que te haga
una a ti.
• ¿Cómo engañarías a un usuario por teléfono?
Hazlo una vez que se ha logueado, utiliza una
una web falsa, o incluso llámale.

71. ¿Preguntas?

72. ¡¡Gracias!!
Mikel Gastesi Jose Miguel Esparza
@mgastesi @EternalTodo