Social Engineering in Banking Trojans

72
Social Engineering in Banking Trojans Attacking the weakest link Jose Miguel Esparza Mikel Gastesi

Transcript of Social Engineering in Banking Trojans

Page 1: Social Engineering in Banking Trojans

Social Engineering in Banking Trojans

Attacking the weakest link

Jose Miguel Esparza

Mikel Gastesi

Page 2: Social Engineering in Banking Trojans

Agenda

• ¿Ingeniería Social?

• Ingeniería Social + Malware

• Inyecciones HTML

• Mercado Underground

• ¿Soluciones?

Page 3: Social Engineering in Banking Trojans

¿Ingeniería Social?

• El arte de…

– …saber cómo llevar a las personas

Page 4: Social Engineering in Banking Trojans

¿Ingeniería Social?

• …o cómo manipularlas

Page 5: Social Engineering in Banking Trojans

¿Ingeniería Social?

• …para conseguir un objetivo

– Obtención de información

– Acceso a edificios / salas

– Poder

– Bienes materiales

– Otros: ligar, pedir favores...

Page 6: Social Engineering in Banking Trojans

¿Ingeniería Social?

• …para conseguir un objetivo

– Obtención de información

– Acceso a edificios / salas

– Poder

– Bienes materiales

– Otros: ligar, pedir favores (sexuales o no)…

Page 7: Social Engineering in Banking Trojans

• ¿Cómo?– Cara a Cara

– Teléfono / SMS

– Mail

– …

• ¿Quién lo usa?– Políticos

– Vendedores / Comerciales

– Delincuentes / Estafadores

– Tú y yo

¿Ingeniería Social?

Page 8: Social Engineering in Banking Trojans

¿Ingeniería Social?

Page 9: Social Engineering in Banking Trojans

¿Ingeniería Social?

• Se aprovecha de la naturaleza humana

– Sentimientos / emociones / estados de ánimo

– Comportamientos / personalidad

Page 10: Social Engineering in Banking Trojans

¿Ingeniería Social?

• Se aprovecha de la naturaleza humana

– Sentimientos / emociones / estados de ánimo• Tristeza• Pena• Miedo• Rencor• Vergüenza• Felicidad• Amor• Esperanza

– Comportamientos / personalidad

Page 11: Social Engineering in Banking Trojans

¿Ingeniería Social?

• Se aprovecha de la naturaleza humana

– Sentimientos / emociones / estados de ánimo

– Comportamientos / personalidad

• Curiosidad

• Inocencia

• Honestidad

• Generosidad

• Gratitud

• Avaricia

Page 12: Social Engineering in Banking Trojans

¿Ingeniería Social?

• Se aprovecha de la naturaleza humana

– Sentimientos / emociones / estados de ánimo

– Comportamientos / personalidad

• Tendencia a confiar

Page 13: Social Engineering in Banking Trojans

Ingeniería Social + Malware

Page 14: Social Engineering in Banking Trojans

Ransomware

Page 15: Social Engineering in Banking Trojans

Ransomware

Page 16: Social Engineering in Banking Trojans

Ransomware

Page 17: Social Engineering in Banking Trojans

Ransomware

Page 18: Social Engineering in Banking Trojans

Falsos antivirus

Page 19: Social Engineering in Banking Trojans

Troyanos bancarios

• Superposición de imágenes

• Aplicaciones con GUI

• Pharming

• WebFakes Phishings

• Inyecciones HTML

Page 20: Social Engineering in Banking Trojans

Troyanos bancarios

• Superposición de imágenes

• Aplicaciones con GUI

• Pharming

• WebFakes Phishings

• Inyecciones HTML

Page 21: Social Engineering in Banking Trojans

Troyanos bancarios

• Superposición de imágenes

• Aplicaciones con GUI

• Pharming

• WebFakes Phishings

• Inyecciones HTML

Page 22: Social Engineering in Banking Trojans

Aplicaciones con GUI

Page 23: Social Engineering in Banking Trojans

Aplicaciones con GUI

Page 24: Social Engineering in Banking Trojans

Troyanos bancarios

• Superposición de imágenes

• Aplicaciones con GUI

• Pharming

• WebFakes Phishings

• Inyecciones HTML

Page 25: Social Engineering in Banking Trojans

Troyanos bancarios

• Superposición de imágenes

• Aplicaciones con GUI

• Pharming

• WebFakes Phishings

• Inyecciones HTML

Page 26: Social Engineering in Banking Trojans

Troyanos bancarios

• Superposición de imágenes

• Aplicaciones con GUI

• Pharming

• WebFakes Phishings

• Inyecciones HTML

Page 27: Social Engineering in Banking Trojans

Inyecciones HTML

Page 28: Social Engineering in Banking Trojans

Inyecciones HTML

Page 29: Social Engineering in Banking Trojans

Inyecciones HTML VS WebFakes

Page 30: Social Engineering in Banking Trojans

Inyecciones - Funcionamiento (I)

• Troyano

– Binario

• Genérico– Keylogging, form-grabbing, etc.

– Robo silencioso de datos

– Fichero de configuración

• Afectación concreta– Ataque personalizado a entidades

– Interacción con el usuario

Page 31: Social Engineering in Banking Trojans

Inyecciones - Funcionamiento (II)

• Configuración

– Dónde inyectar

– Qué inyectar

– Cuándo inyectar: Flags

• G,P,L

Page 32: Social Engineering in Banking Trojans

Inyecciones - Funcionamiento (III)

1. ¿La URI es la buscada?

2. Obtener página

3. Buscar marca de inicio

4. Insertar inyección

5. Copiar desde la marca de fin

6. Obtener datos, si los hay, con el formgrabbing

Page 33: Social Engineering in Banking Trojans

Inyecciones – Funcionamiento (y IV)

Page 34: Social Engineering in Banking Trojans

Autenticación

Teclado Virtual

Tarj. coordenadas

OTP Token

SMS : mTAN

PasswordID +

2FA

Page 35: Social Engineering in Banking Trojans

Saltarse la autenticación

• ID + Password + Password de operaciones

Page 36: Social Engineering in Banking Trojans

Saltarse la autenticación

• Teclado Virtual

– No es necesaria la inyección

Page 37: Social Engineering in Banking Trojans

Saltarse la autenticación

• 2FA: Tarjeta de coordenadas

Page 38: Social Engineering in Banking Trojans

Saltarse la autenticación

• 2FA: SMS

– Incita al usuario a infectar su móvil

• Siempre tras loguearse en el banco

• Simula software de seguridad

• Simula activación del mismo

• Aprovecha el desconocimiento de la amenaza

Page 39: Social Engineering in Banking Trojans

Saltarse la autenticación

• ZeuS + componente móvil (I)

Page 40: Social Engineering in Banking Trojans

Saltarse la autenticación

• ZeuS + componente móvil (y II)

Page 41: Social Engineering in Banking Trojans

Saltarse la autenticación

• SpyEye + componente móvil (I)

Page 42: Social Engineering in Banking Trojans

Saltarse la autenticación

• SpyEye + componente móvil (y II)

Page 43: Social Engineering in Banking Trojans

Saltarse la autenticación

• 2FA: Token

– Ataque MitB No es ingeniería social

• ¿Avisos de transferencia al móvil?

– Juguemos a “Simon dice…”

Demo

Page 44: Social Engineering in Banking Trojans

Afectación por países

Page 45: Social Engineering in Banking Trojans

Afectación por sectores

Page 46: Social Engineering in Banking Trojans

Mercado Underground

• Mercado de binarios

• Mercado de inyecciones

– Estandarizadas

– Sólo inyecciones

– Full-package

Page 47: Social Engineering in Banking Trojans

Mercado Underground

• Mercado de binarios

• Mercado de inyecciones

– Estandarizadas ZeuS & co. / SpyEye

– Sólo inyecciones

– Full-package

Page 48: Social Engineering in Banking Trojans

Mercado Underground

• Mercado de binarios

• Mercado de inyecciones

– Estandarizadas

– Sólo inyecciones

• Por países y entidades

• 60 WMZ/LR (WebMoney / Liberty Reserve)

• Paquete: 700-800 WMZ/LR

• Actualización / Modificación: 20 WMZ/LR

– Full-package

Page 49: Social Engineering in Banking Trojans

Mercado Underground

Page 50: Social Engineering in Banking Trojans

Mercado Underground

• Mercado de binarios

• Mercado de inyecciones

– Estandarizadas

– Sólo inyecciones

– Full-package

• Alquiler de botnet + inyecciones

• 400$??

Page 51: Social Engineering in Banking Trojans

Mercado Underground

Page 52: Social Engineering in Banking Trojans

Mercado Underground

• ¿Cómo se crean?

– Obtención código legítimo de la banca

– Creación inyección

– Testing

Page 53: Social Engineering in Banking Trojans

Mercado Underground

• ¿Cómo se crean?

– Obtención código legítimo de la banca

– Creación inyección

– Testing

Page 54: Social Engineering in Banking Trojans

Mercado Underground

• Obtención código legítimo de la banca

– Manual

• Login + Volcado página

Page 55: Social Engineering in Banking Trojans

Mercado Underground

• Obtención código legítimo de la banca

– Automatizado

• Módulos específicos

• Archivo de configuración

Page 56: Social Engineering in Banking Trojans

Mercado Underground

• Obtención código legítimo de la banca

– Automatizado

• Módulos específicos– Tatanga

• Archivo de configuración

Page 57: Social Engineering in Banking Trojans

Mercado Underground

Page 58: Social Engineering in Banking Trojans

Mercado Underground

Page 59: Social Engineering in Banking Trojans

Mercado Underground

• Obtención código legítimo de la banca

– Automatizado

• Módulos específicos

• Archivo de configuración– ZeuS

– SpyEye

Page 60: Social Engineering in Banking Trojans

Mercado Underground

Page 61: Social Engineering in Banking Trojans

Mercado Underground

• ¿Cómo se crean?

– Obtención código legítimo de la banca

– Creación inyección

– Testing

Page 62: Social Engineering in Banking Trojans

Mercado Underground

• ¿Cómo se crean?

– Obtención código legítimo de la banca

– Creación inyección INGENIERIA SOCIAL!!

– Testing

Page 63: Social Engineering in Banking Trojans

Mercado Underground

• ¿Cómo se crean?

– Obtención código legítimo de la banca

– Creación inyección

– Testing

• Login

• Screenshots

• Video Tatanga, Citadel

Page 64: Social Engineering in Banking Trojans

• Detección / Prevención

• Información / Cursos

• El sentido común

¿Soluciones?

Page 65: Social Engineering in Banking Trojans

• Detección / Prevención

– Cliente

• Comprobación estructura de la página (DOM)

– Servidor

• Parámetros adicionales

• Páginas dinámicas Evitar localización punto inyección

¿Soluciones?

Page 66: Social Engineering in Banking Trojans

• Detección / Prevención

¿Soluciones?

Page 67: Social Engineering in Banking Trojans

• Detección / Prevención

• Información / Cursos

• El sentido común

¿Soluciones?

Page 68: Social Engineering in Banking Trojans

• Detección / Prevención

• Información / Cursos

• El sentido común

¿Soluciones?

Page 69: Social Engineering in Banking Trojans

• Detección / Prevención

• Información / Cursos

• El sentido común…no es tan común

¿Soluciones?

Page 70: Social Engineering in Banking Trojans

Conclusiones

• Si el usuario puede hacer una transferencia, siempre podrás engañarle para que te haga una a ti.

• ¿Cómo engañarías a un usuario por teléfono? Hazlo una vez que se ha logueado, utiliza una una web falsa, o incluso llámale.

Page 71: Social Engineering in Banking Trojans

¿Preguntas?

Page 72: Social Engineering in Banking Trojans

¡¡Gracias!!Mikel Gastesi

@mgastesiJose Miguel Esparza@EternalTodo


E-BANKING PAMPA EMPRESAS

E-BANKING PAMPA EMPRESAS

home banking instructivo navegadores

home banking instructivo navegadores

Presentationinvestment Banking

Presentationinvestment Banking

Telefónica banking

Telefónica banking

Now zoom banking.

Now zoom banking.

Master’s Degree in Industrial Engineering

Master’s Degree in Industrial Engineering

Dena Retail Banking

Dena Retail Banking

Math's utility in Telecommunication Engineering

Math's utility in Telecommunication Engineering

Master Banking & Finance

Master Banking & Finance

Consumer Banking 2020 - Chile

Consumer Banking 2020 - Chile

Startup Engineering

Startup Engineering

In&AR Engineering

In&AR Engineering

Banking Headed for Hell

Banking Headed for Hell

ENGINEERING & MANUFACTURING

ENGINEERING & MANUFACTURING

New banking - softtek.com

New banking - softtek.com

Mathematical Models in Food Engineering - Facultad de Ciencias

Mathematical Models in Food Engineering - Facultad de Ciencias

Intal Banking Presentation 2

Intal Banking Presentation 2

Shadow Banking

Shadow Banking

STATISTIK PERBANKAN INDONESIA INDONESIAN BANKING …...amortisasi kumulatif menggunakan metode suku bunga efektif yang dihitung dari selisih 1. The data used in the Indonesian Banking

STATISTIK PERBANKAN INDONESIA INDONESIAN BANKING …...amortisasi kumulatif menggunakan metode suku bunga efektif yang dihitung dari selisih 1. The data used in the Indonesian Banking

OP Corporate Banking - presentacion

OP Corporate Banking - presentacion