Troyanos bancarios aprovechan marcas populares de comercio electrónico para robar datos
Los troyanos bancarios tienen una larga tradición de apuntar a los usuarios de servicios financieros en línea para robarles datos financieros o reclutar sus dispositivos en botnets para lanzar futuros ataques. A pesar de esta especialización, con el tiempo varios de estos troyanos bancarios han adquirido nuevas funciones, lanzado nuevas variantes y ampliado su alcance.
Ahora algunos son capaces de obtener derechos de root en los dispositivos infectados, realizar transacciones, inyectar otros códigos maliciosos, grabar videos, etc. Y las víctimas de este tipo de malware no son solo quienes realizan transacciones bancarias en línea, sino los compradores en línea en general.
Según datos de Kaspersky Lab, 14 familias de malware también tienen como objetivo robar a los usuarios de marcas de comercio electrónico. Los principales son Betabot, Panda, Gozi, Zeus, Chthonic, TinyNuke, Gootkit2, IcedID y SpyEye. Todos ellos troyanos bancarios. Hemos visto que sus actividades relacionadas con el comercio electrónico han aumentado de manera constante en los últimos años, de 6,6 millones de detecciones en 2015 a un estimado de 12,3 millones a fines de 2018 (basado en la extrapolación de un número de detección de 9,2 millones al final del tercer trimestre de 2018), con un aumento del 12% entre 2016 y 2017, y con un aumento pronosticado del 10% entre 2017 y 2018.
Datos generales de detección de los principales troyanos que tienen como blanco a usuarios de marcas de comercio electrónico, 2015 – 2018. Fuente: KSNh
Método de ataque
Los troyanos utilizan las marcas de comercio electrónico para obtener las credenciales de los usuarios: inicios de sesión, contraseñas, números de tarjeta, números de teléfono, etc. Para ello, pueden interceptar los datos ingresados en los sitios de destino, modificar el contenido de páginas en línea o desviar a los visitantes hacia páginas de phishing.
Por ejemplo, los troyanos permiten a los ciberpiratas monitorear el comportamiento en línea de los usuarios, es decir, rastrear los sitios que visita usando el dispositivo infectado. Si el troyano detecta que el usuario entra a un sitio web de comercio electrónico de destino, activa su funcionalidad de captura de formularios. Es una técnica que permite guardar toda la información que un usuario ingresa en formularios en un sitio web. Y en un sitio web de comercio electrónico, es casi seguro que dichos formularios contendrán la combinación de contraseña e inicio de sesión, como los datos de pago, el número de tarjeta de crédito, su fecha de caducidad y su código CVV. Si el sitio web no tiene implementada la verificación de transacciones de dos factores, los delincuentes que obtengan esta información pueden usarla para robar dinero.
Marcas atacadas
Se encontró que las 14 familias de malware apuntaban a un total de 67 sitios de comercio electrónico para consumidores. Entre estos sitios se encontraban, entre otros, 33 de artículos de consumo (ropa, calzado, regalos, juguetes, joyas y grandes almacenes), 8 de productos electrónicos, 8 de entretenimiento y juegos, 3 de telecomunicaciones, 2 de pago en línea y 3 de venta minorista en línea.
Betabot tiene como blancos hasta 46 marcas diferentes, y fue el único troyano en apuntar a sitios de entretenimiento y juegos; mientras que Gozi apunta a 36 marcas en general, y Panda a 35.
Proporción de categorías de comercio electrónico atacadas por malware, 2018
¿Por qué los troyanos atacan sitios de comercio electrónico?
Una posibilidad es la ganancia que se puede obtener por la venta de credenciales: nuestra investigación reveló que más de 3 millones de credenciales de comercio electrónico están en venta en un mercado que es fácil de encontrar haciendo una búsqueda en Google. Las cuentas comerciales pirateadas parecen ser las más cotizadas.
Otra forma de ganar dinero consiste en usar las credenciales robadas, en lugar de venderlas. Los ciberpiratas podrían, por ejemplo, usar las cuentas robadas para hacer lavado de dinero: comprar cosas en un sitio web con las credenciales de una víctima para hacerse pasar por clientes conocidos y que no se activen las medidas antifraude, y después revenderlas.
Geografía de los ataques
En 2018, los ataques de malware para robar datos a través de marcas de comercio electrónico fueron particularmente activos en los países europeos, entre ellos Italia, Alemania y Francia. También lo fueron en América del Norte, Rusia y los países con mercados emergentes.
Por ejemplo, la mayoría de los afectados por los ataques de Betabot a través de sitios de comercio electrónico se encontraban en Italia (donde el 14,13% de los usuarios afectados por malware en los primeros ocho meses de 2018 fueron atacados por esta amenaza), Alemania (6,04%), Rusia (5,5%) e India (4,87%). Gozi tuvo un patrón similar: el 19,57% de los usuarios afectados por malware en Italia fueron atacados por esta amenaza, con Rusia en segundo lugar (13,89%), seguida de Brasil (11,96%) y Francia (5,91%).
Consejos y recomendaciones
Para mantenerse a salvo de estas amenazas durante la temporada de compras festivas, Kaspersky Lab recomienda tomar las siguientes medidas de seguridad:
Si usted es consumidor
- Es esencial que instale una solución de seguridad sólida y actualizada en todos los dispositivos que utiliza para comprar en línea. Evite comprar en sitios web que parezcan peligrosos o que parezcan una versión incompleta del sitio web de una marca confiable.
- No haga clic en enlaces desconocidos en correos electrónicos o en mensajes de redes sociales, incluso los enviados personas que conoce, a menos que esté esperando el mensaje.
Si usted es dueño de una marca o comerciante en línea
- Utilice un servicio de pago de buena reputación y mantenga actualizado su software de transacciones y pagos en línea. Cada nueva actualización puede contener parches críticos para fortalecer el sistema contra los ciberataques.
- Utilice una solución de seguridad que se adapte a las necesidades de seguridad de su empresa y sus clientes.
- Preste atención a la información personal proporcionada por sus clientes al hacer sus compras. Utilice una solución de prevención de fraudes que se ajuste al perfil de su empresa y al de sus clientes.
- Piense cuánto dinero desea mantener en una cuenta de transacción de pago en línea en cada momento. Cuanto mayor sea el saldo, mayor será el valor de esa cuenta para los ciberpiratas.
- Restrinja el número de intentos de transacciones y use siempre la autenticación de dos factores (Verified by Visa, MasterCard Secure Code, etc.).
Esta investigación se basa en datos obtenidos con el consentimiento del usuario y procesados mediante Kaspersky Security Network (KSN). Las soluciones de seguridad de Kaspersky Lab detectan y bloquean todos los programas maliciosos pertenecientes a los troyanos bancarios cubiertos en este informe.
Informe completo: “Buyer beware: cyberthreats targeting e-commerce, 2018” (inglés, PDF)
Alerta en viernes negro