Doppelgängers o dobles digitales

Los ciberdelincuentes obtienen dinero valiéndose de identidades digitales robadas

El fraude con tarjetas de crédito existe desde hace más de 20 años. Y sigue vivito y coleando. Es más, los ciberdelincuentes lo están desarrollando activamente. El “buen” método antiguo de introducir información de tarjetas de crédito robadas en formularios de tiendas en línea para comprar bienes y servicios o usar cuentas de sistemas de pago en línea para el mismo propósito, sigue funcionando a pedir de boca. Por supuesto, el proceso se ha vuelto más sofisticado, y no es tan fácil de hacer como hace 10 años, pero por desgracia todavía es posible.

Los modernos ciberfraudes financieros, los sofisticados ataques dirigidos contra bancos como Carbanak y Silence, los centenares de familias de troyanos bancarios, etc., todos comenzaron con los foros de fraudes con tarjetas de crédito hace muchos años. El fraude con tarjetas de crédito es la cuna del moderno ciberdelito financiero. Como antes, las tarjetas bancarias, los sistemas de pago y los fraudes bancarios en línea son las fuentes de riqueza más preciadas para los ciberdelincuentes.

Un estudio realizado por Juniper Research estima que las pérdidas por fraudes de pagos en línea alcanzarán los 43 mil millones de dólares en 2023, frente a los 22 mil millones de dólares en 2018, lo que convierte a las medidas contra el fraude y la ciberseguridad en una de las principales preocupaciones de la industria. Y esto no debería sorprendernos: a diario los delincuentes cibernéticos desarrollan nuevos métodos y herramientas para eludir los sistemas de protección contra el fraude, desarrollan malware que facilita sus actividades, crean servicios y tiendas, discuten formas de eliminar los mecanismos de protección en los foros y canales de la red oscura. Desde el famoso foro Cardingplanet hasta las tiendas de tarjetas robadas en Darknet, los esquemas financieros de ciberdelito no han desaparecido durante todos estos años. Por el contrario, han evolucionado y se han vuelto más peligrosos que nunca.

Protección de la huella dactilar digital

¿Cómo protegen los sistemas modernos a los usuarios contra el fraude en línea? Emplean varios modelos y combinaciones de múltiples métodos técnicos y analíticos. Pero en términos simples, un sistema antifraude debe identificar a un estafador e impedirle realizar una transacción ilegal que involucre una tarjeta bancaria o una cuenta de sistema de pago. Para identificar a los estafadores y distinguirlos de los compradores legítimos, el sistema antifraude utiliza varios mecanismos diseñados para verificar la máscara de identidad digital del usuario: si detecta que esta máscara es legítima, nueva y única, no activará la “bandera roja” de advertencia. Con esto, se reconoce como legítimo al usuario detrás de la máscara, y su solicitud, en este caso el intento de compra con los datos de la tarjeta bancaria provistos, será aprobada. Si la identidad digital del usuario levanta sospechas, la transacción se cancelará o se pondrá en espera para una verificación manual adicional. La autenticación adicional generalmente implica que se pida más información, como la fecha de vencimiento de la tarjeta bancaria o el número CVV, o que la tienda en línea o del operador del sistema de pago haga una llamada para verificar la voz de cliente.

Por definición, la identidad digital del usuario es como una huella digital formada por la combinación de atributos del sistema que son únicos para cada dispositivo, y los atributos del comportamiento personal del usuario. La primera, la huella digital del dispositivo, incluye:

  • Dirección IP (externa y local)
  • Información de la pantalla (resolución de la pantalla, tamaño de la ventana)
  • Versión de firmware
  • Versión de sistema operativo
  • Extensiones de navegador instaladas
  • Zona horaria
  • Identificación del dispositivo
  • Información sobre la batería
  • Huella digital del sistema de audio
  • Información de la GPU
  • IPs de WebRTC
  • Huella dactilar TCP / IP
  • Análisis SSL / TLS pasivo
  • Cookies
  • y mucho más

El dispositivo puede tener más de 100 atributos utilizados para la navegación.

La segunda parte de la identidad digital es el análisis de comportamiento. Las modernas soluciones antifraude analizan las cuentas de redes sociales del usuario (verificación de cookies de terceros) y diversos aspectos de su comportamiento, entre ellas:

  • Tiempo pasado en el sitio web de la tienda en línea
  • Clics en la ubicación del sitio web
  • Comportamiento relacionado con los intereses (elementos de interés, cantidad típica de dinero gastado, mercancía digital o real, etc.)
  • Comportamiento del ratón o pantalla táctil
  • Cambios en la configuración del sistema

El sistema antifraude puede alertar sobre varios trucos, pero la idea principal es asegurarse de que la identidad digital del usuario recopilada haya sido utilizada en transacciones anteriores, que estas hayan sido legítimas o que la huella digital sea completamente única y que se la esté usando por primera vez. Por esta razón, si un ciberdelincuente utiliza la misma máquina para varios intentos de comprar desde la misma tienda en línea utilizando diferentes datos de tarjetas bancarias o pares de inicio de sesión y contraseña del sistema de pago robados, dichas transacciones ilegales serán rechazadas. Los sistemas antifraude pueden verificar la huella dactilar digital del usuario comparándola con la base de datos local de los patrones de huella digital de dispositivos fraudulentos y, si alguno de ellos coincide con el utilizado para el intento de compra en línea, la transacción se bloqueará de inmediato.

Ejemplo de huella digital

Pero los delincuentes siempre están buscando formas de burlar las medidas antifraude. Investigan en profundidad hasta descubrir cómo funcionan los sistemas antifraude, analizan el tráfico del navegador utilizando diferentes herramientas de análisis local de proxy para comprender los scripts y consultas del sistema de protección. Estudian la información recopilada de los dispositivos para crear huellas digitales únicas de sus usuarios.

Después, tratan de sustituir la huella digital real del sistema con la falsa. Intentan manipular las consultas y proporcionar valores únicos en respuesta a cada consulta del mecanismo antifraude. O, como una alternativa más avanzada, sustituyen los valores solicitados por otros ya existentes (robados de la PC de otro usuario).

Genesis Store

Los ciberdelincuentes no tardaron en darse cuenta de lo valiosas que pueden ser las huellas dactilares únicas de las PC de los usuarios. Comenzaron a crear malware para robar huellas dactilares de las máquinas de los usuarios y venderlas junto con otros datos robados de las mismas máquinas: cuentas de usuario, inicios de sesión, contraseñas y cookies del navegador recopilados en diversos servicios en línea, desde tiendas y sistemas de pago hasta cuentas bancarias. Gracias a nuestras tecnologías de inteligencia de ciberamenazas, pudimos identificar y analizar el mercado más grande para este tipo de datos: Genesis Store.

Genesis Store es un cibermercado negro privado para huellas digitales robadas que funciona por invitación. Actualmente ofrece más de 60 000 perfiles de bots robados. Los perfiles incluyen: huellas digitales del navegador, nombres de usuario y contraseñas del sitio web, cookies, datos de tarjetas de crédito. El precio varía de 5 a 200 dólares por perfil y depende en gran medida del valor de la información robada. Por ejemplo, si el bot tiene un par de inicio de sesión y contraseña de una cuenta bancaria en línea, el precio es más alto. Como lo explicaron los propietarios del mercado en su foro en la web oscura, el precio se calcula automáticamente utilizando un algoritmo único.

Página de inicio de Genesis Store

Bots en venta

Genesis Store tiene un panel de búsqueda configurable que permite buscar bots específicos. Inicios de sesión y contraseñas de un sitio web en particular, el país de la víctima, el sistema operativo, la fecha en que el perfil apareció por primera vez en el mercado: todo se puede buscar.

Panel de búsqueda de Genesis

Los propietarios de Genesis Store buscan facilitar en lo posible el uso de los perfiles robados, por lo que han desarrollado una extensión especial .crx para los navegadores Chromium. Esta extensión permite instalar perfiles digitales robados en el propio navegador de los ciberdelincuentes con un solo clic y convertirse en el “gemelo malvado”, o doppelganger, de la víctima. Posteriormente, el ciberpirata solo necesita conectarse a un servidor proxy con una dirección IP desde la ubicación de la víctima obviando los mecanismos de verificación de los sistemas antifraude, ya que se hace pasar por un usuario legítimo.

Extensión Genesis

Configuración de huella digital en la extensión Genesis

Para los clientes que no desean comprar huellas dactilares reales, también existe la opción de generar huellas únicas. Genesis Store brinda a sus clientes la oportunidad de usar sus algoritmos y su extensión para generar huellas dactilares aleatorias que sirvan para, por ejemplo, introducir información robada de tarjetas bancarias en formularios de tiendas en línea: dichas huellas dactilares únicas del navegador se configurarán correctamente y el sistema antifraude no se enterará.

Generador de huellas dactilares Genesis

La esfera oscura

Otra herramienta ampliamente utilizada para eludir los sistemas antifraude es el navegador Tenebris Linken Sphere. Sus desarrolladores lo posicionan como el navegador perfecto para el anonimato y, de hecho, se lo ha utilizado por años para fraudes con tarjetas bancarias. A diferencia del complemento Genesis, Sphere es un navegador completamente funcional con capacidades avanzadas de configuración de huellas dactilares, pruebas automáticas de validez del servidor proxy y opciones de uso, etc. Incluso incluye un emulador de actividad del usuario: los ciberdelincuentes pueden programarlo para abrir los sitios web que deseen, seguir enlaces, permanecer en sitios web durante un período de tiempo determinado, etc. En pocas palabras, engaña a los módulos de análisis de comportamiento de los sistemas antifraude. Los desarrolladores de Tenebris Linken Sphere también han creado un mercado de huellas digitales únicas que se pueden usar con los navegadores Sphere.

Sitio web de Tenebris

A diferencia de Genesis, Sphere usa un sistema de licencias por suscripciones. Usar el navegador por un mes cuesta 100 dólares. Con acceso al mercado de las huellas dactilares, el precio es de 500 dólares por mes.

Licencias Tenebris Sphere

Sphere tiene opciones de configuración de huellas digitales mucho más profundas para huellas digitales generadas. La mayoría de los parámetros son totalmente ajustables para poder crear exactamente la huella digital que uno necesita para imitar a un usuario real.

Panel de configuración

Panel de configuración

Conclusión

Los sistemas antifraude se están desarrollando rápidamente. Estan introduciendo nuevos mecanismos de protección para tener a raya a los ciberestafadores, mientras que estos desarrollan nuevas herramientas para penetrar las capas de protección. Las sumas de dinero que se pierden por los ataques de fraudes con tarjetas bancarias son enormes, y no cabe duda de que los ciberdelincuentes ampliarán sus actividades maliciosas.

Los departamentos de seguridad de las organizaciones financieras siempre deben buscar formas de contrarrestar esas amenazas. La autenticación de dos factores adicionales para cualquier transacción iniciada con una tarjeta bancaria o un sistema de pago es una necesidad absoluta en estos días, incluso si el perfil digital del usuario parece legítimo para el sistema de protección. Aunque se un poco incómodo para los usuarios completar la rutina adicional de autenticación cada vez que desean comprar en línea, es hoy en día la protección más efectiva contra los ataques de fraudes de tarjetas bancarias.

Además, los nuevos métodos de análisis de comportamiento del usuario deben desarrollarse e implementarse junto con tecnologías de huellas digitales personalizadas que incluyan acuerdos de recolección de huellas digitales basados en hardware que operen a un nivel más profundo que el actual. También se debe considerar el uso de autenticación biométrica adicional.

Kaspersky Lab investiga continuamente el ciberdelito financiero para brindar protección oportuna contra estas actividades hostiles.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *