Fraude en Dispositivos Móviles

Curso Especialización Dispositivos Móviles

Facultad Informática, Universidad A Coruña

20, 21 y 22 junio 2012

Autor: Álvaro Del Hoyo

Mikel Gastesi

Fecha: 21 Junio 2012

La información contenida en este documento es propiedad intelectual de S21sec. Cualquier modificación o

utilización total o parcial del contenido de este documento sin consentimiento expreso y por escrito de S21sec

está estrictamente prohibida. La ausencia de respuesta a cualquier solicitud de consentimiento en ningún caso

deberá ser entendida como consentimiento tácito por parte de S21sec autorizando utilización alguna.

© Grupo S21sec Gestión, S.A.

// INDICE

1 2 3 4 5 6

*

Presentación

S21sec

Móviles en el

punto de mira

Malware como

vector de

ataque

Otros vectores

de ataque

Perjudicados

y perjuicios

Dudas y

preguntas

*

// 01

Presentación

S21sec

S21sec

12 años en el ámbito de la

seguridad.

Una prevención y

solución ante incidentes

24x7x365

Protección frente a todo tipo de

amenazas de ciberseguridad:

Gestión Integral

de la Seguridad

Multinacional especializada en

servicios y tecnologías de seguridad.

Expansión e internacionalización

8 oficinas en España

6 oficinas internacionales

Partnerships

comerciales en distintos países

Trabajamos en

proyectos en 26

países de Europa,

Estados Unidos,

Latinoamérica y

Oriente Medio

Sectores a los que llegamos

20% de las

compañías del índice

Dow Jones

Eurostoxx 50

90% del sector financiero

26 de las 35 compañías del IBEX

» Administración pública.

» Alimentación

» Sanidad.

» Defensa.

» Educación.

» Infraestructuras críticas.

» Energía.

» Industria.

» Farmacéutico.

» Banca y finanzas.

» Seguros.

» Telcos e Internet.

» Medios de comunicación.

» Entretenimiento.

» Turismo.

» Distribución y logística.

Un equipo especialista en seguridad

295 personas

Profesionales certificados reconocidos a nivel

internacional.

100% de nuestros profesionales

dedicados exclusivamente

a la seguridad.

Nuestros centros

Centros y laboratorios pioneros

especializados en ciberseguridad:

S21sec labs

S21sec CERT

S21sec intelligence center

S21sec university

295

ESPECIALISTAS en

seguridad certificados

y reconocidos

internacionalmente

20% DE LAS COMPAÑÍAS

DEL DOW JONES

EUROSTOXX 50 SON

CLIENTES DE

S21SEC RECONOCIDA por

ANALISTAS

INTERNACIONALES como una de las

mejores empresas a

nivel internacional

Proyectos en

26 PAISES

La

INNOVACIÓN como motor de negocio

*

// 02

Móviles en el

punto de

mira

En una sociedad hiperconectada…

…donde los dispositivos móviles se están

convirtiendo en el epicentro…

…siendo una “mina de datos”…

Pág.

14

…explotable de forma lícita…

Local

Mobile

Social

…o también por los “enemigos de lo ajeno”…

…, que pueden de forma ilícita ganar dinero…

• Spam

• Click fraud

• Black Hat SEO

• DDOS

• Pay per view

• Botnets

• Robo y reventa

• Robo identidad

• Proxies

• Robo OTP bancos

• Llamadas/SMS premium

• SMS flooding

Voz y mensajes

Datos personales

y de negocio

Acceso móvil

Internet

Todo en uno

…e incluso lavar dinero y hasta financiar el

terrorismo.

*

// 04

Malware como

vector de

ataque

Al tiempo que crece el número de apps…

…lo hace el malware en dispositivos móviles…

…especialmente en los Android,…

…aunque también en iPhones (y no sólo los

rooteados)…

…y la complejidad del malware móvil también

crece…

*

// 04

Otros

vectores de

ataque

Además de la falta de seguridad en los markets

de apps,…

…existen aplicaciones en otros sitios…

…pueden darse casos de fraude interno…

…la candidez humana…

…la ingeniería social…

…la deficiente legislación…

…las vulnerabilidades de los protocolos de

comunicaciones…

…el uso no previsto de servicios de red…

…la falta de seguridad en sistemas

asociados…

…e incluso las advanced persistent threats

*

// 04

Perjudicados

Perjuicios para usuarios…

Spam

Denegación

Servicio

Proxy Robo

Identidad y Fraude

Calidad

TIC

…perjuicios para operadores

Spam

Integridad

Redes y Servicios

Atención Cliente

Fraude

Pérdida recursos

Reputación

Número teléfono Dirección IP

…y perjuicios para terceros

Spam

Blanqueo

Capitales

Click Fraud

Robo Identidad y

Fraude

Espionaje Industrial

// ÍNDICE

*

Parte 2

Esquemas tradicionales

SPAM

SMShing

Vishing

Botnet

DDoS

Información? Ataque orientado? Venta?

Aplicaciones

Malware

SMS y llamadas Premium

Advertising

Ransomware¿?

Credenciales

OTP

Terminología y FUD

*

// Esquemas tradicionales 01

¿Todavía

hablamos del

SPAM?

SPAM

SMShing

• Definición: SPAM o engaño por SMS

SMShing

• Sí, sucede en la realidad!!

Más de lo mismo

Vishing

• Definición: Engaño mediante una llamada telefónica

– Tanto automatizado como manual

• ¡Más viejo que la pana!

• Sí, pero…. ¡Funciona!

Pura ingeniería social

-Confiamos en las personas

-No desconfiamos de amenazas

que no conocemos

-Pueden tener información nuestra

- Internet

-No te fíes ni de tus vecinos!

*

// Botnets 02

…controlados

remotamente…

Botnets

• ¿Tendencia? Similar a los PCs

• Pros:

– Siempre encendido

– Siempre conectado

• Objetivos:

– DDoS

– Información / punto de entrada

– PPI ?

– Envío de SMS Premium, etc

Al igual que en los PCs, el

objetivo es tener el dispositivo

controlado

*

// Aplicaciones (maliciosas o rogue) 03

¿Qué peligros

corremos?

Vectores de infección

• Infección de aplicación maliciosa

– Se engaña al usuario para que la instale

• Infección mediante aplicación legítima reempaquetada.

– Markets alternativos y descargas desde sitios no confiables.

– Control en los markets, etc, quedan fuera del ámbito de la charla de

hoy ;)

Todavía no hemos visto infección mediante drive-by,

pero ya hay pruebas de concepto.

En muchos casos, ¡por agarrados!

Vectores de infección (II)

• SMS malformados?

– Las gestiona el sistema operativo

– Tenemos aplicaciones de terceros

• Bluetooth

– Ingeniería social para infección

– Espionaje

• 1234 o 0000, ¿cuál eliges?

• Códigos QR

– Superponer pegatinas

– ¡Es como sacar el buen vino buen precio!

• NFC

– ¿Quién querría poner un link? “Jesús Gonzalez”

– El problema puede ser la implementación

• Por ejemplo, abrir URL directamente

Jugando con NFC

• Hackit ergo sum 2012, Abril 2012

– “Hacking the NFC credit cards for fun and debit ;)”, Renaud Lifchitz

– http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-

2012-rlifchitz-contactless-payments-insecurity.pdf

– http://code.google.com/p/readnfccc/

• Reads NFC credit card personal data (gender, first name, last

name, PAN, expiration date, transaction history...)

Números Premium

• Envío silencioso de SMS a números Premium

• Llamadas a números Premium

Números Premium (II)

• …ni siquiera el malware es obligatorio…

Número Premium (III)

• …pero es lo habitual

Advertising

• Cobras por cada clic en tus banners de publicidad

• ¿Incluso por número de visitas?

– Entonces, que abran y hagan clic en tu página, ¿no?

• Ejemplo – Flashback:

• …aplica a los móviles del mismo modo

Advertising (II)

Advertising (y III)

• …los nombres de los virus y amenazas, siempre todo tan claro… en fin!

Ransomware

Credenciales

*

// Robo del OTP 04

Un ataque

muy dirigido

Historia

• Érase una vez un pueblo navarro… …allá por finales de 2010…

El 2º factor de autenticación

El 2º factor de autenticación (II)

El 2º factor de autenticación (y III)

• Componente móvil para los troyanos bancarios

• Reenvío SMS POST a un servidor Web

¡Perdamos el miedo a destripar un .apk!

El 2º facto de autenticación

• Batallitas

– Bombardea su móvil

– Espiar al que robas, viaja?

– Clonado se SIM

*

// Cuestión de terminología 05

Zitmo?

Drive-by?

Dudoso uso de la terminología

…marketing? …buzz? …FUD?

– Zeus for mobile

– SpyEye for android

– Citadel for mobile

– Zitmo ¿?

– Spitmo ¿?

– Drive-by download ¿?:

– ATS?

FUD:

Fear, Uncertainty and

Doubt (miedo,

incertidumbre y duda)

Conclusiones - Preguntas

GRACIAS

www.s21sec.com

SPAIN MEXICO BRASIL UK USA