Investigación

Doppelgängers o dobles digitales

Los ciberdelincuentes obtienen dinero valiéndose de identidades digitales robadas

El fraude con tarjetas de credito existe desde hace mas de 20 anos. Y sigue vivito y coleando. Es mas, los ciberdelincuentes lo estan desarrollando activamente. El “buen” metodo antiguo de introducir informacion de tarjetas de credito robadas en formularios de tiendas en linea para comprar bienes y servicios o usar cuentas de sistemas de pago en linea para el mismo proposito, sigue funcionando a pedir de boca. Por supuesto, el proceso se ha vuelto mas sofisticado, y no es tan facil de hacer como hace 10 anos, pero por desgracia todavia es posible.

Los modernos ciberfraudes financieros, los sofisticados ataques dirigidos contra bancos como Carbanak y Silence, los centenares de familias de troyanos bancarios, etc., todos comenzaron con los foros de fraudes con tarjetas de credito hace muchos anos. El fraude con tarjetas de credito es la cuna del moderno ciberdelito financiero. Como antes, las tarjetas bancarias, los sistemas de pago y los fraudes bancarios en linea son las fuentes de riqueza mas preciadas para los ciberdelincuentes.

Un estudio realizado por Juniper Research estima que las perdidas por fraudes de pagos en linea alcanzaran los 43 mil millones de dolares en 2023, frente a los 22 mil millones de dolares en 2018, lo que convierte a las medidas contra el fraude y la ciberseguridad en una de las principales preocupaciones de la industria. Y esto no deberia sorprendernos: a diario los delincuentes ciberneticos desarrollan nuevos metodos y herramientas para eludir los sistemas de proteccion contra el fraude, desarrollan malware que facilita sus actividades, crean servicios y tiendas, discuten formas de eliminar los mecanismos de proteccion en los foros y canales de la red oscura. Desde el famoso foro Cardingplanet hasta las tiendas de tarjetas robadas en Darknet, los esquemas financieros de ciberdelito no han desaparecido durante todos estos anos. Por el contrario, han evolucionado y se han vuelto mas peligrosos que nunca.

Proteccion de la huella dactilar digital

?Como protegen los sistemas modernos a los usuarios contra el fraude en linea? Emplean varios modelos y combinaciones de multiples metodos tecnicos y analiticos. Pero en terminos simples, un sistema antifraude debe identificar a un estafador e impedirle realizar una transaccion ilegal que involucre una tarjeta bancaria o una cuenta de sistema de pago. Para identificar a los estafadores y distinguirlos de los compradores legitimos, el sistema antifraude utiliza varios mecanismos disenados para verificar la mascara de identidad digital del usuario: si detecta que esta mascara es legitima, nueva y unica, no activara la “bandera roja” de advertencia. Con esto, se reconoce como legitimo al usuario detras de la mascara, y su solicitud, en este caso el intento de compra con los datos de la tarjeta bancaria provistos, sera aprobada. Si la identidad digital del usuario levanta sospechas, la transaccion se cancelara o se pondra en espera para una verificacion manual adicional. La autenticacion adicional generalmente implica que se pida mas informacion, como la fecha de vencimiento de la tarjeta bancaria o el numero CVV, o que la tienda en linea o del operador del sistema de pago haga una llamada para verificar la voz de cliente.

Por definicion, la identidad digital del usuario es como una huella digital formada por la combinacion de atributos del sistema que son unicos para cada dispositivo, y los atributos del comportamiento personal del usuario. La primera, la huella digital del dispositivo, incluye:

  • Direccion IP (externa y local)
  • Informacion de la pantalla (resolucion de la pantalla, tamano de la ventana)
  • Version de firmware
  • Version de sistema operativo
  • Extensiones de navegador instaladas
  • Zona horaria
  • Identificacion del dispositivo
  • Informacion sobre la bateria
  • Huella digital del sistema de audio
  • Informacion de la GPU
  • IPs de WebRTC
  • Huella dactilar TCP / IP
  • Analisis SSL / TLS pasivo
  • Cookies
  • y mucho mas

El dispositivo puede tener mas de 100 atributos utilizados para la navegacion.

La segunda parte de la identidad digital es el analisis de comportamiento. Las modernas soluciones antifraude analizan las cuentas de redes sociales del usuario (verificacion de cookies de terceros) y diversos aspectos de su comportamiento, entre ellas:

  • Tiempo pasado en el sitio web de la tienda en linea
  • Clics en la ubicacion del sitio web
  • Comportamiento relacionado con los intereses (elementos de interes, cantidad tipica de dinero gastado, mercancia digital o real, etc.)
  • Comportamiento del raton o pantalla tactil
  • Cambios en la configuracion del sistema

El sistema antifraude puede alertar sobre varios trucos, pero la idea principal es asegurarse de que la identidad digital del usuario recopilada haya sido utilizada en transacciones anteriores, que estas hayan sido legitimas o que la huella digital sea completamente unica y que se la este usando por primera vez. Por esta razon, si un ciberdelincuente utiliza la misma maquina para varios intentos de comprar desde la misma tienda en linea utilizando diferentes datos de tarjetas bancarias o pares de inicio de sesion y contrasena del sistema de pago robados, dichas transacciones ilegales seran rechazadas. Los sistemas antifraude pueden verificar la huella dactilar digital del usuario comparandola con la base de datos local de los patrones de huella digital de dispositivos fraudulentos y, si alguno de ellos coincide con el utilizado para el intento de compra en linea, la transaccion se bloqueara de inmediato.

Ejemplo de huella digital

Pero los delincuentes siempre estan buscando formas de burlar las medidas antifraude. Investigan en profundidad hasta descubrir como funcionan los sistemas antifraude, analizan el trafico del navegador utilizando diferentes herramientas de analisis local de proxy para comprender los scripts y consultas del sistema de proteccion. Estudian la informacion recopilada de los dispositivos para crear huellas digitales unicas de sus usuarios.

Despues, tratan de sustituir la huella digital real del sistema con la falsa. Intentan manipular las consultas y proporcionar valores unicos en respuesta a cada consulta del mecanismo antifraude. O, como una alternativa mas avanzada, sustituyen los valores solicitados por otros ya existentes (robados de la PC de otro usuario).

Genesis Store

Los ciberdelincuentes no tardaron en darse cuenta de lo valiosas que pueden ser las huellas dactilares unicas de las PC de los usuarios. Comenzaron a crear malware para robar huellas dactilares de las maquinas de los usuarios y venderlas junto con otros datos robados de las mismas maquinas: cuentas de usuario, inicios de sesion, contrasenas y cookies del navegador recopilados en diversos servicios en linea, desde tiendas y sistemas de pago hasta cuentas bancarias. Gracias a nuestras tecnologias de inteligencia de ciberamenazas, pudimos identificar y analizar el mercado mas grande para este tipo de datos: Genesis Store.

Genesis Store es un cibermercado negro privado para huellas digitales robadas que funciona por invitacion. Actualmente ofrece mas de 60 000 perfiles de bots robados. Los perfiles incluyen: huellas digitales del navegador, nombres de usuario y contrasenas del sitio web, cookies, datos de tarjetas de credito. El precio varia de 5 a 200 dolares por perfil y depende en gran medida del valor de la informacion robada. Por ejemplo, si el bot tiene un par de inicio de sesion y contrasena de una cuenta bancaria en linea, el precio es mas alto. Como lo explicaron los propietarios del mercado en su foro en la web oscura, el precio se calcula automaticamente utilizando un algoritmo unico.

Pagina de inicio de Genesis Store

Bots en venta

Genesis Store tiene un panel de busqueda configurable que permite buscar bots especificos. Inicios de sesion y contrasenas de un sitio web en particular, el pais de la victima, el sistema operativo, la fecha en que el perfil aparecio por primera vez en el mercado: todo se puede buscar.

Panel de busqueda de Genesis

Los propietarios de Genesis Store buscan facilitar en lo posible el uso de los perfiles robados, por lo que han desarrollado una extension especial .crx para los navegadores Chromium. Esta extension permite instalar perfiles digitales robados en el propio navegador de los ciberdelincuentes con un solo clic y convertirse en el “gemelo malvado”, o doppelganger, de la victima. Posteriormente, el ciberpirata solo necesita conectarse a un servidor proxy con una direccion IP desde la ubicacion de la victima obviando los mecanismos de verificacion de los sistemas antifraude, ya que se hace pasar por un usuario legitimo.

Extension Genesis

Configuracion de huella digital en la extension Genesis

Para los clientes que no desean comprar huellas dactilares reales, tambien existe la opcion de generar huellas unicas. Genesis Store brinda a sus clientes la oportunidad de usar sus algoritmos y su extension para generar huellas dactilares aleatorias que sirvan para, por ejemplo, introducir informacion robada de tarjetas bancarias en formularios de tiendas en linea: dichas huellas dactilares unicas del navegador se configuraran correctamente y el sistema antifraude no se enterara.

Generador de huellas dactilares Genesis

La esfera oscura

Otra herramienta ampliamente utilizada para eludir los sistemas antifraude es el navegador Tenebris Linken Sphere. Sus desarrolladores lo posicionan como el navegador perfecto para el anonimato y, de hecho, se lo ha utilizado por anos para fraudes con tarjetas bancarias. A diferencia del complemento Genesis, Sphere es un navegador completamente funcional con capacidades avanzadas de configuracion de huellas dactilares, pruebas automaticas de validez del servidor proxy y opciones de uso, etc. Incluso incluye un emulador de actividad del usuario: los ciberdelincuentes pueden programarlo para abrir los sitios web que deseen, seguir enlaces, permanecer en sitios web durante un periodo de tiempo determinado, etc. En pocas palabras, engana a los modulos de analisis de comportamiento de los sistemas antifraude. Los desarrolladores de Tenebris Linken Sphere tambien han creado un mercado de huellas digitales unicas que se pueden usar con los navegadores Sphere.

Sitio web de Tenebris

A diferencia de Genesis, Sphere usa un sistema de licencias por suscripciones. Usar el navegador por un mes cuesta 100 dolares. Con acceso al mercado de las huellas dactilares, el precio es de 500 dolares por mes.

Licencias Tenebris Sphere

Sphere tiene opciones de configuracion de huellas digitales mucho mas profundas para huellas digitales generadas. La mayoria de los parametros son totalmente ajustables para poder crear exactamente la huella digital que uno necesita para imitar a un usuario real.

Panel de configuracion

Panel de configuracion

Conclusion

Los sistemas antifraude se estan desarrollando rapidamente. Estan introduciendo nuevos mecanismos de proteccion para tener a raya a los ciberestafadores, mientras que estos desarrollan nuevas herramientas para penetrar las capas de proteccion. Las sumas de dinero que se pierden por los ataques de fraudes con tarjetas bancarias son enormes, y no cabe duda de que los ciberdelincuentes ampliaran sus actividades maliciosas.

Los departamentos de seguridad de las organizaciones financieras siempre deben buscar formas de contrarrestar esas amenazas. La autenticacion de dos factores adicionales para cualquier transaccion iniciada con una tarjeta bancaria o un sistema de pago es una necesidad absoluta en estos dias, incluso si el perfil digital del usuario parece legitimo para el sistema de proteccion. Aunque se un poco incomodo para los usuarios completar la rutina adicional de autenticacion cada vez que desean comprar en linea, es hoy en dia la proteccion mas efectiva contra los ataques de fraudes de tarjetas bancarias.

Ademas, los nuevos metodos de analisis de comportamiento del usuario deben desarrollarse e implementarse junto con tecnologias de huellas digitales personalizadas que incluyan acuerdos de recoleccion de huellas digitales basados en hardware que operen a un nivel mas profundo que el actual. Tambien se debe considerar el uso de autenticacion biometrica adicional.

Kaspersky Lab investiga continuamente el ciberdelito financiero para brindar proteccion oportuna contra estas actividades hostiles.

Doppelgängers o dobles digitales

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada