1
Fraude online: realidad y mejores
GMV SOLUCIONES GLOBALES INTERNET
realidad y mejores practicas para combatirlo
INFORMACIÓN NO CLASIFICADA
CÓDIGO: SGI-LFAP-PRE/ESPFECHA:04 /06 / 2008VERSIÓN: 1CÓDIGO INTERNO: SGISA 4100/06 [v1/08]
El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
1. Introduccion
2. Amenazas
3 Vulnerabilidades
ÍNDICE
3. Vulnerabilidades
4. Lucha contra el fraude
5. Conclusiones
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 2SGI-MARCOM-PRE/ESP
2
INTRODUCCIONGMV SOLUCIONES GLOBALES INTERNET
INFORMACIÓN NO CLASIFICADA
Fraude informático: los actos deliberados e ilegítimos que causen un perjuicio patrimonial mediante una amplia gama de procedimientos (…) con la intención fraudulenta o delictiva de obtener ilegítimamente un beneficio económico para uno mismo o para otra persona (Convenio de Budapest, C j d E )
FRAUDE ON-LINE (F.O.): UNA CARA DEL DELITO INFORMÁTICO
Consejo de Europa)
Tipología (Internet Crime Complaint Center):
Subastas on-line
Tarjetas de crédito
Cancelación de deudas
Servicios de
Paquetería
Robo de identidad
Fraude en i i
Loterías
Phishing / spoofingServicios de
consignación
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 4SGI-MARCOM-PRE/ESP
Cheques falsos
Ofertas de empleo / negocio
Extorsión
inversiones
Cartas nigerianas
Fraude Piramidal Reenvíos Spam
Receptor de fondos
de terceros
g
3
En el caso bancario, sólo una vertiente del fraude, originado también en cajeros (36%) y TPVs (35%) (First Data, 2007)
El 29,9% de los usuarios reconocen haber sufrido algún intento de fraude online, aunque sólo afirman haber sufrido un perjuicio económico el 2,1% (Inteco 2007)
FRAUDE ON-LINE (F.O.): DIMENSIÓN
(Inteco, 2007)
Fraude phising bancario en Reino Unido 2006: 36 M GBP (ENISA, 2008)
Fraude bancario on-line en España 2007 (?)
Beneficio de la banca que opera en España 2007: 18.874,4 M€ (AEB)
Beneficio 5 bancos españoles online 2007: 77 M€ (AEB)
Inversión anual en UE en productos y servicios de seguridad: 4.600 M€(Forrester)
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 5SGI-MARCOM-PRE/ESP
(Forrester)
Inversión anual sector financiero UE en productos y servicios de seguridad: 1.500 M€ (ENISA)
¿cuál es el alcance real del Fraude Online?¿cuál es el impacto indirecto?
FRAUDE ON-LINE: IMPACTO SOCIAL
Según estudio Inteco, el impacto en hábitos de uso es minoritario (pero relevante) entre colectivos afectados por F O salvo si hay por F.O., salvo si hay perjuicios económicos
Eurostat sugiere un efecto importante del F.O. como inhibidor del ecommerce
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 6SGI-MARCOM-PRE/ESP
4
FRAUDE ON-LINE Y RIESGOS
ACTIVOSACTIVOSACTIVOSACTIVOS
RIESGORIESGO
VULNERABILIDADESVULNERABILIDADESVULNERABILIDADESVULNERABILIDADES
ACTIVOSACTIVOSACTIVOSACTIVOS
AMENAZASAMENAZASAMENAZASAMENAZAS
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 7SGI-MARCOM-PRE/ESP
RIESGORIESGO
Riesgo = % Amenaza x Vulnerabilidad (Activos)
AMENAZASGMV SOLUCIONES GLOBALES INTERNET
INFORMACIÓN NO CLASIFICADA
5
TENDENCIAS EN LAS AMENAZASRelevancia del malware, ingeniería social, ataques enfocados:
Aumentan Mantienen Reducen
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 9SGI-MARCOM-PRE/ESP
Spam para dirigir
a sitios maliciosos
ATAQUES DIRIGIDOSObjetivo:
Personas con acceso a información crítica o sensible referente a otras personas o a actividades de negocio: CEOs, Personal de Seguridad, Directores Financieros, Personal de Compras, Jefes de Proyecto I+D
Modus operandi:Modus operandi:
1. Identificar actores involucrados en el manejo de información de alto valor.
2. Identificar sitios sociales (blogs, foros, etc) que frecuentan
3. Cuantificar la reputación (confiabilidad) que esas comunidades tienen para la potencial víctima (frecuencia de acceso, número de consultas formuladas y respondidas, boletines descargados o publicados...), analizar las áreas de interés para la víctima.
4 Diseñar el código malicioso que ayude a obtener la información deseada
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 10SGI-MARCOM-PRE/ESP
4. Diseñar el código malicioso que ayude a obtener la información deseada.5. Camuflar dicho código bajo un formato o contenido atractivo para la
víctima y que no despierte su recelo o desconfianza Troyano
6
TROYANOSPrograma malicioso que permite a un usuario ajeno al equipo realizar
acciones sobre dicho equipo sin ser advertido por el usuario legítimo
Medios de infección:• Tradicionales: archivos infectados enviados por correo o P2P.• Explotación de vulnerabilidades en los servicios del ordenador de la víctima.p• Web Malware: acceso a sitios web ilegítimos o legítimos (80%) infectados
Suponen un control de la máquina del usuario:Ver por donde navega la víctimaMostrarle páginas falsas como verdaderasRobarle la sesión con un servicio webCapturar lo que tecleaCapturar lo que ve (snapshots o vídeos)Activar webcam y verA ti i h
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 11SGI-MARCOM-PRE/ESP
Activar micro y escucharParar o reiniciar la máquinaEscribir o borrar los ficherosModificar lo que envía... por ejemplo la cuenta corriente de destino
¿Efectividad de los programas antivirus?
ATAQUES MAN-IN-THE-MIDDLEAtaques en el que un elemento hostil adquiere la capacidad de leer,insertar y modificar a voluntad, los mensajes entre dos partes sin queninguna de ellas conozca que el enlace entre ellos ha sido comprometido
1 El usuario ordena una transferencia
2 El atacante cambia la cuenta destino y la cantidad
Victima Atacante Banco
Interno: Externo:
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 12SGI-MARCOM-PRE/ESP
Existen múltiples vectores de ataque(DHCP Spoofing, ARP Poisoning , etc.)
El atacante necesita estar conectado ala red local de la victima
En principio, el único vector de ataquees la infección del equipo de la victima
Existen troyanos que siguen esteesquema (Trojan.Silentbanker )
7
PHISHING
Un mismo objetivo,
distintas técnicas
Conseguir credenciales para acceso a aplicaciones / sistemas u obtener información crítica de personas y/o entidades:
- datos de cuentas y tarjetas de crédito
- condiciones comerciales de clientes
PHISHING = PASSWORD FISHING
distintas técnicas,
nuevas posibilidades.
PHARMING SCAMMINGVULN. SERV.
LEGÍTIMO TROYANOS ROOTKITS
NUEVOS CANALES
NUEVOS SISTEMAS AUTENTICACIÓN NUEVAS VULNS.
NUEVOS TIPOS
FRAUDE
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 13SGI-MARCOM-PRE/ESP
FRAUDE
PHISHINGClasificación del Phishing / Scamming según Target
Bancario
Comercial
El objetivo del ataque de phishing es una entidad financiera.
Correos de Soporte y Seguridad (introduzca sus credenciales) / Correos amenazantes (cargos en cuenta)
PHIS
HIN
G
Social
Admin. Públicas
El objetivo del ataque es un tercero que, debido a su actividad comercial, efectúa transacciones económicas en la red susceptibles de manipulación de datos de cuentas y tarjetas.
Similar al anterior salvo que en este caso el objetivo es una entidad del ámbito público.
Consiste en apelar a cualidades humanas como la solidaridad, desesperación, avaricia, etc para conseguir que la víctima deposite datos bancarios en un servidor trampa. Los objetivos más frecuentes en este tipo de ataque son los sitios web de ONGs y entidades con fines sociales.
Portales de compra - venta y subastas / Recarga de móviles / Medios de Pago / Portales transferencias de dinero
Impuestos / Padrón
a e a a tes (ca gos e cue ta)
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 14SGI-MARCOM-PRE/ESP
ISPs
El objetivo del ataque de phishing son proveedores de cuentas de correo en Internet como gmail, hotmail, yahoo, etc Es conocido que muchos usuarios almacenan datos de credenciales de acceso a banca electrónica y a otra información sensible en este tipo de cuentas de correo.
*En esta clasificación se han excluido las técnicas basadas en troyanos y rootkits.
p q yDonaciones / Ofertas falsas de trabajo / Obsequios /
Dinero fácil
Pharming gmail, yahoo / Formularios de registro para la descarga de software gratuito
8
LA GLOCALIZACION DEL FRAUDE ONLINECuenta bancaria: 10-1000 $
Tarjeta credito: 1-20 $
Cuenta ebay: 1-10 $
Exploits
Exploits
Servicios
Servicios
eID Data eID Data
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 15SGI-MARCOM-PRE/ESP
ExploitsMalware a medida: 800 $ Hasta 1.500.000 bots
Alquiler Bot / semana: 0,3 €
Cadena de
valor sustraído
INFRAESTRUCTURA Y PROCESOS DEL CRIMEN ORGANIZADO
Spam Relays
Víctimas
1 .-Se envía spama las víctimas Botnet Log
5.-Captura y almacenamientode información
Spam Relays(Botnet)
2 .-La intervención del usuario(click URL, attachement) redirije a
3.-Descarga exploitde entrega (dropper)
4.-Dropper se descargael programa troyano principal
Malware site #3
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 16SGI-MARCOM-PRE/ESP
Botnet DropperMalware site #1
Botnet TrojanMalware site #2
C&C
9
INFRAESTRUCTURA Y PROCESOS DEL CRIMEN ORGANIZADO: BOTNETS
1.- Infección malware
2.- Fraude
3.- IncorporaciónA Botnet
4.- Infección malware
4.- Fraude
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 17SGI-MARCOM-PRE/ESP
4.-DDoS4.-Spam
4.-Hosting / Log
VULNERABILIDADESGMV SOLUCIONES GLOBALES INTERNET
INFORMACIÓN NO CLASIFICADA
10
VULNERABILIDADES Y CICLO DE VIDA FRAUDEVulnerabilidad: debilidad en procedimientos, diseño,
implementación o control que puede ser explotada y conducir a una brecha de seguridad
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 19SGI-MARCOM-PRE/ESP
GESTION DE VULNERABILIDADES
Las vulnerabilidades están presentes en todos los activos:
VULNERABILIDADESVULNERABILIDADES VULNERABILIDADESTECNOLÓGICAS
APLICACIÓNINFRAESTRUCTURA Y COMUNICACIONES
PRODUCTOSPAQUETIZADOS
CONFIGURACIÓN INAPROPIADA
DESARROLLOS PROPIOS O DE
TERCEROS
VULNERABILIDADESEN PROCESOS
ENTREGA CREDENCIALES
ENTREGA BIENES
VULNERABILIDADESEN PERSONAS
USUARIO
PERSONAL PROPIO
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 20SGI-MARCOM-PRE/ESP
PUERTOS INECESARIOS
ABIERTOS
ACCESOS INSEGUROS A BASES
DE DATOSAGUJERO DE
SEGURIDAD MS EXPLORER
LISTADO DE DIRECTORIOSOPCIONES DE
DEBUG HABILITADASCONTRASEÑAS POR
DEFECTOPERMISIVIDAD DE PETICIONES
RECURSIVAS DNS
AUSENCIA DE CONTROL DE PERMISOSAUSENCIA DE
CONTROL DE PARÁMETROS DE
ENTRADA / SALIDAACCESO INSEGURO A FICHEROS
TRATAMIENTO INAPROPIADO DE PARÁMETROS DE
SESIÓNABUSO DE FUNCIONALIDADES
DESBORDAMIENTO DE BUFFER
ACCESOS DE ADMINISTRACIÓN NO RESTRINGIDOSACTIVACIÓN POR
DEFECTO DE MS MESSENGER
11
VULNERABILIDADES 2.0
Más del 50% del tráfico en la red corresponde a P2P, contenidos de seguridad (y legalidad) frecuentemente cuestionable
Las redes sociales pueden suponer una fuente de riesgos importante (privacidad robo de identidad vigilancia )importante (privacidad, robo de identidad, vigilancia,...)
USA: condenas por intervenciones fraudulentas en foros
Perspectiva técnica:
Los administradores de webs 2.0 no gestionan sus propios contenidos (e.g widgets, contenidos de usuarios)
Vulnerabilidades en la plataforma tecnológica (AJAX, RIA,
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 21SGI-MARCOM-PRE/ESP
Vulnerabilidades en la plataforma tecnológica (AJAX, RIA, Web services)
Cross site scripting, cross site request forgeries
VULNERABILIDAD Y AUTENTICACIÓN
Diversidad de mecanismos (uno o varios factores):
Teclado virtual (pantalla)
Certificados
Almacenados en el NavegadorAlmacenados en el Navegador
Chip criptográfico
One Time Password (OTP)
Dispositivos hardware USB (tokens).
Otros dispositivos (Móvil, “Calculadora”)
Mecanismos de dos canales (SMS)
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 22SGI-MARCOM-PRE/ESP
El despliegue de estos mecanismos implica consideraciones de seguridad, costes y aceptación por los clientes
El problema de seguridad en las transacciones online no es sólo de autenticación de usuario: vulnerabilidad ante los nuevos ataques
12
REFLEXION SOBRE VULNERABILIDADESVulnerabilidades en IT y responsabilidades sobre riesgos:
Las condiciones habituales de EULAs no ofrecen garantías sobre la seguridad del softwareNo existen SLAs sobre parches
¿Hacia sistemas seguros por defecto?¿Hacia sistemas seguros por defecto?
El papel de sistemas de certificación (e.g. Common Criteria, autocertificación)
¿Sistemas “a prueba de usuarios”?
Las inversiones en seguridad (reducción de vulnerabilidad) pueden abordarse con criterios de RAR (rentabilidad ajustada al riesgo)
B á ti d di ñ
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 23SGI-MARCOM-PRE/ESP
Buenas prácticas de diseño seguro:
SimplicidadCompartimentaciónDiversidad
PROGRAMAS DE CERTIFICACIÓN: PCI-DSS
Payment Card Industry Data Security Standard: Estándar de Seguridad para todas aquellas empresas, bancos y organizaciones que procesan, almacenan o transmiten datos de pago con tarjetas, a fin de protegerse de ataques a los mismos
Controles y objetivos:
Desplegar y mantener una red segura
Proteger los datos del usuario
Mantener un programa de gestión de vulnerabilidades
I l t did t i t d t l d l d t
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 24SGI-MARCOM-PRE/ESP
Implementar medidas estrictas de control de accesos a los datos
Monitorizar y testear regularmente la red
Mantener una política de seguridad de la información
13
LUCHA CONTRA EL FRAUDE
GMV SOLUCIONES GLOBALES INTERNET
FRAUDE
INFORMACIÓN NO CLASIFICADA
ENTENDIENDO AL ADVERSARIO
Amenazas:Ley / acción policial Medidas de seguridadTrazabilidad flujos monetarios
Debilidades:Necesitan apoyarse en algo que no tienen
(capacidad de obrar)
Su comportamiento se desvía de patrones habituales y aceptados
Valor sustraído (¿cierto en todos los países?)
Oportunidades:Crecimiento del mercado online
Poca competencia
Accesibilidad de los recursos (tecnología, servicios, recursos humanos)
Vulnerabilidades
F t ió d l i l ( í t )
Fortalezas:Capacidad evolución técnica superior al rival
(velocidad)
Capacidad ocultación
Valor sustraído (¿cierto en todos los países?)
Eslabón humano. Dinámica fase final del fraude
Las vulnerabilidades de sus sistemas
Su cadena de desconfianza
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 26SGI-MARCOM-PRE/ESP
Fragmentación del rival (países, agentes)
Anonimato en la red
pConocimiento del rival
Sin reglas (salvo las internas)
¿Una rentabilidad muy alta en relación al riesgo?
Estrategia actual: distribución daño – concentración beneficios – distribución riesgos
14
DINÁMICA DE LA LUCHA CONTRA EL FOPREVENCIÓN:El SGSI como marco de referenciaDespliegue de servicios segurosGestión VulnerabilidadesFormaciónInvestigación (e.g análisis malware)g ( g )Preparación respuesta ante incidentesDisuasión
DETECCIÓN:VigilanciaMonitorización y análisis eventos (e.g correlación)Alerta tempranaInteligencia de comportamiento servidores clientes y atacantesControlAuditoria REACCIÓN:
Análisis ataque y contramedidas
CERTS,SOCs
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 27SGI-MARCOM-PRE/ESP
Anulación de servicios / usuarios comprometidosRestauración de servicios afectadosCierre de IPs atacantesCierre de repositorio de datosGestión de evidencias. Análisis forenseAcción legal y policialComunicación
LUCHA CONTRA EL F.O.: UNA VISION GLOBALNecesario involucrar a todos los agentes e introducir los incentivos
para que cada uno haga su aportación:Proveedores de servicios financieros y comercio electrónicoIndustriaIndustriaISPsUsuariosAdministración
Algunas barreras en la lucha contra el fraude:
Asimetrías en la información (e.g. calidad/precio en productos de seguridad)
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 28SGI-MARCOM-PRE/ESP
Externalidades (efectos sobre terceros de decisiones propias)
Descarga de responsabilidad (liability dumping).
Homogeneidad tecnológica.
Legislación fragmentada
15
EL IMPACTO ECONÓMICO DEL FRAUDE
Como inhibidor del negocio electrónico, su impacto va más allá de las cantidades efectivamente defraudadas
Otros daños derivados (e.g. Restauración servicio, atención usuarios,...)
Impacto en intangibles (e.g. marca)
Impacto en gasto en seguridad (¿perspectivas 2008?)
¿Quién asume las consecuencias del fraude?
Regulación diversa
Diferentes prácticas comerciales:
APACS: “Customers must also take sensible precautions however so that
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 29SGI-MARCOM-PRE/ESP
APACS: “Customers must also take sensible precautions however so that they are not vulnerable to the criminal”ABA: “"When a customer reports an unauthorized transaction, the bank will cover the loss and take measures to protect your account."
Tendencia UE: protección del consumidor
Transferencia del riesgo: seguros, un segmento poco desarrollado
CONCLUSIONES
El fraude online está experimentando un crecimiento inquietante a manos de una mafia profesionalizada y con el malware como vector de compromiso de los sistemas
Mejores prácticas: gestión de la seguridad, implementación de servicios j p g g , pseguros (redes, aplicaciones, datos, procesos, personas), gestión vulnerabilidades, auditoría, formación
El usuario es el eslabón más débil de la cadena. Los servicios deberían diseñarse para proteger este eslabón también de las consecuencias del fraude
El fraude online no se puede combatir eficazmente por ninguno de los agentes aislado
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 30SGI-MARCOM-PRE/ESP
16
CONCLUSION
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 31SGI-MARCOM-PRE/ESP
Gracias por su atención
Nombre:Luis Fernando Alvarez-Gascón
Cargo:Director General
Email:
© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 32SGI-MARCOM-PRE/ESP
Email:
www.gmv.com