20 abr 2008

Crime-Ware o herramientas de delito


Caballos troyanos, vulnerabilidades y programas malignos Otro fenómeno de robo de identidades: Los troyanos se han convertido en los protagonistas de la mayoría de los ataques de phishing.

Los numerosos mecanismos de protección frente al phishing junto a la mejor información de los usuarios demuestran su eficacia. También las medidas de respuesta de los bancos, como es el uso del iTAN, mTAN, testigo de seguridad para contraseñas TAN y HBCI con límite temporal,contribuyen a que la información captada ilegalmente no pueda ser utilizada.Los ciber-delincuentes necesitan, al menos en la mayoría de los países, nuevos medios para captar datos y convertirlos con la mayor rapidez en moneda contante y sonante.

Una clasificación rápida del Crime-ware:

El registrador de teclas graba acciones del teclado. Puede aparecer en forma de controlador u obtener datos desde las interfaces previstas en el sistema operativo (WinAPI Set-WindowsHook o WinAPI GetKeyboardState). Para pasar desapercibidos se integran en los procesos del sistema corriente(p. ej. inlogon.exe,services.exe) o utilizan rootkits. En la mayoría de los casos no se activan hasta que no se cumplen ciertos requisitos. Por ejemplo, cuando la página web abierta se encuentra en una lista, con frecuencia muy larga, de nombres de dominio o cuando se abren ventanas con determinados títulos.
Registrador de pantalla: Como medida para combatir el registrador de órdenes de teclado aparecieron los teclados de pantalla. La reacción de los autores de software malicioso ha sido el registrador de pantalla. Estos graban en intervalos periódicos imágenes de todo el contenido de la pantalla (p. ej. Rbot) o eneran a cada clic de ratón un gráfico del entorno del ratón. A veces, las secuencias de imágenes se transforman de inmediato en una película AVI.
Manipulación del navegador: Algunos virus o programas maliciosos (p. ej. Torpig) cambian la apariencia del navegador. Son capaces de mostrar la línea de dirección con la dirección correcta, aunque el contenido proceda de otro dominio falso. También el candado que simboliza una conexión cifrada puede mostrarse de forma fraudulenta.
Falsificación de contenidos: Algunos programas maliciosos (p. ej. variantes de Bancos o Nurech) manipulan los contenidos de determinadas páginas web e insertan otros campos de formularios o páginas web completas. Los certificados SSL siguen permaneciendo activados. Sin herramientas especiales es imposible detectar si estos datos son falsos o no. Los datos obtenidos de este modo son enviados tanto a los criminales como al servidor web auténtico. Después del robo de datos prosigue la sesión de forma normal, de forma que la víctima no tenga ninguna sospecha al respecto. Sólo la consulta a los movimientos de cuenta será la prueba que dará la alarma del delito.
• Los antiguos Session Hijackers interrumpían la conexión de la víctima después de haber proporcionado sus datos. Así la víctima notaba de inmediato que había sido atacada. Desde hace algún tiempo, este tipo de delitos de robo de datos durante la sesión se realiza de forma que el atacante modifica las cantidades y datos de cuenta a su favor (p. ej. Bancos). La víctima sólo ve los datos que ha introducido. Además, el estado de la cuenta también se falsea. También aquí sólo es visible el fraude al mirar los extractos de la cuenta.
• DNS Spoofing o falsificación de DNS: Como ya se menciona arriba, las posibilidades locales de asignar un nombre de dominio a una dirección de IP falsa se utilizan cada vez con mayor frecuencia. Un punto de ataque que se utiliza a menudo por la familia de programas maliciosos QHosts es el archivo Hosts del directorio C:\windows\system32\drivers\etc. En este archivo, es posible asignar una dirección IP a un nombre de dominio. Una vez realizada esta operación con éxito ya no se realizará ningún intento más de verificar la dirección IP encontrada. Otra posibilidad la ofrecen las entradas del servidor de DNS. Son manipuladas de forma que se re-direccionan las solicitudes de DNS a un servidor controlado por el atacante.En la mayoría de las páginas se obtienen entonces resultados correctos, pero en otras, no.
Redirector: Redirigen el flujo de datos de modo que es posible el ataque tipo Man-in-themiddle. Puede ser un proxy local o un servidor proxy que controla el agresor. A través de ellos, la comunicación de red de la víctima puede ser espiada de principio a fin. Los e-mails, chats, páginas visitadas, datos introducidos en formularios y descargas de archivos pueden ser vigilados.
Sniffer o programas rastreadores: Para captar el flujo de datos en una red se instalan los sniffers o programas rastreadores. Mediante la falsificación de ARP, esto funciona también en redes no conmutadas.
• Los troyanos espías examinan todo el PC en busca de información valiosa. Esta información puede ser direcciones de e-mail o archivos con determinado contenido o determinado tipo de datos. Estos datos son empaquetados y enviados al agresor. La información de login, códigos de registro y contraseñas (o sus algoritmos) son también datos codiciados. En la zona de almacenamiento protegida se guardan las contraseñas de páginas web y cuentas de correo electrónico, siempre que un usuario acepte la tentadora oferta del navegador o del cliente de correo electrónico de guardar las contraseñas. Es una buena idea prescindir de guardar automáticamente las contraseñas e información de registro. También las contraseñas introducidas en juegos, las claves de registro del sistema operativo y en otros programas populares se guardan en lugares conocidos (registro o archivos) del sistema y son robados de allí.
• También el clic inocente sobre un enlace puede llevar a la pérdida de datos. A través del Cross Site Scripting es posible que otra persona lea sus datos. Así, por ejemplo, el botón “Oferta” de las subastas en eBay fue manipulado de forma que el usuario accedía a una página de registro falsa.
• Realmente, las cookies son inofensivas e imprescindibles en muchas páginas de compras en Internet. No obstante, ofrecen también valiosa información sobre las páginas preferidas del usuario. Este tipo de información es sumamente valiosa para el publicista. Sin embargo, el robo de las cookies también puede valer la pena. Si alguien ha olvidado cerrar la sesión en su tienda de Internet o de su bolsa de contactos, mediante la cookie se puede tener acceso a esta página web con la configuración de la víctima.

No hay comentarios: