GMV SOLUCIONES GLOBALES INTERNET Fraude...

1

Fraude online: realidad y mejores

GMV SOLUCIONES GLOBALES INTERNET

realidad y mejores practicas para combatirlo

INFORMACIÓN NO CLASIFICADA

CÓDIGO: SGI-LFAP-PRE/ESPFECHA:04 /06 / 2008VERSIÓN: 1CÓDIGO INTERNO: SGISA 4100/06 [v1/08]

El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de GMV. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.

1. Introduccion

2. Amenazas

3 Vulnerabilidades

ÍNDICE

3. Vulnerabilidades

4. Lucha contra el fraude

5. Conclusiones

© GMV, 2008 INFORMACIÓN NO CLASIFICADAPRESENTACIÓN GMV SOLUCIONES GLOBALES INTERNET, S.A. Pág. 2SGI-MARCOM-PRE/ESP

2

INTRODUCCIONGMV SOLUCIONES GLOBALES INTERNET


Fraude informático: los actos deliberados e ilegítimos que causen un perjuicio patrimonial mediante una amplia gama de procedimientos (…) con la intención fraudulenta o delictiva de obtener ilegítimamente un beneficio económico para uno mismo o para otra persona (Convenio de Budapest, C j d E )

FRAUDE ON-LINE (F.O.): UNA CARA DEL DELITO INFORMÁTICO

Consejo de Europa)

Tipología (Internet Crime Complaint Center):

Subastas on-line

Tarjetas de crédito

Cancelación de deudas

Servicios de

Paquetería

Robo de identidad

Fraude en i i

Loterías

Phishing / spoofingServicios de

consignación


Cheques falsos

Ofertas de empleo / negocio

Extorsión

inversiones

Cartas nigerianas

Fraude Piramidal Reenvíos Spam

Receptor de fondos

de terceros

g

3

En el caso bancario, sólo una vertiente del fraude, originado también en cajeros (36%) y TPVs (35%) (First Data, 2007)

El 29,9% de los usuarios reconocen haber sufrido algún intento de fraude online, aunque sólo afirman haber sufrido un perjuicio económico el 2,1% (Inteco 2007)

FRAUDE ON-LINE (F.O.): DIMENSIÓN

(Inteco, 2007)

Fraude phising bancario en Reino Unido 2006: 36 M GBP (ENISA, 2008)

Fraude bancario on-line en España 2007 (?)

Beneficio de la banca que opera en España 2007: 18.874,4 M€ (AEB)

Beneficio 5 bancos españoles online 2007: 77 M€ (AEB)

Inversión anual en UE en productos y servicios de seguridad: 4.600 M€(Forrester)


(Forrester)

Inversión anual sector financiero UE en productos y servicios de seguridad: 1.500 M€ (ENISA)

¿cuál es el alcance real del Fraude Online?¿cuál es el impacto indirecto?

FRAUDE ON-LINE: IMPACTO SOCIAL

Según estudio Inteco, el impacto en hábitos de uso es minoritario (pero relevante) entre colectivos afectados por F O salvo si hay por F.O., salvo si hay perjuicios económicos

Eurostat sugiere un efecto importante del F.O. como inhibidor del ecommerce


4

FRAUDE ON-LINE Y RIESGOS

ACTIVOSACTIVOSACTIVOSACTIVOS

RIESGORIESGO

VULNERABILIDADESVULNERABILIDADESVULNERABILIDADESVULNERABILIDADES

ACTIVOSACTIVOSACTIVOSACTIVOS

AMENAZASAMENAZASAMENAZASAMENAZAS


RIESGORIESGO

Riesgo = % Amenaza x Vulnerabilidad (Activos)

AMENAZASGMV SOLUCIONES GLOBALES INTERNET


5

TENDENCIAS EN LAS AMENAZASRelevancia del malware, ingeniería social, ataques enfocados:

Aumentan Mantienen Reducen


Spam para dirigir

a sitios maliciosos

ATAQUES DIRIGIDOSObjetivo:

Personas con acceso a información crítica o sensible referente a otras personas o a actividades de negocio: CEOs, Personal de Seguridad, Directores Financieros, Personal de Compras, Jefes de Proyecto I+D

Modus operandi:Modus operandi:

1. Identificar actores involucrados en el manejo de información de alto valor.

2. Identificar sitios sociales (blogs, foros, etc) que frecuentan

3. Cuantificar la reputación (confiabilidad) que esas comunidades tienen para la potencial víctima (frecuencia de acceso, número de consultas formuladas y respondidas, boletines descargados o publicados...), analizar las áreas de interés para la víctima.

4 Diseñar el código malicioso que ayude a obtener la información deseada


4. Diseñar el código malicioso que ayude a obtener la información deseada.5. Camuflar dicho código bajo un formato o contenido atractivo para la

víctima y que no despierte su recelo o desconfianza Troyano

6

TROYANOSPrograma malicioso que permite a un usuario ajeno al equipo realizar

acciones sobre dicho equipo sin ser advertido por el usuario legítimo

Medios de infección:• Tradicionales: archivos infectados enviados por correo o P2P.• Explotación de vulnerabilidades en los servicios del ordenador de la víctima.p• Web Malware: acceso a sitios web ilegítimos o legítimos (80%) infectados

Suponen un control de la máquina del usuario:Ver por donde navega la víctimaMostrarle páginas falsas como verdaderasRobarle la sesión con un servicio webCapturar lo que tecleaCapturar lo que ve (snapshots o vídeos)Activar webcam y verA ti i h


Activar micro y escucharParar o reiniciar la máquinaEscribir o borrar los ficherosModificar lo que envía... por ejemplo la cuenta corriente de destino

¿Efectividad de los programas antivirus?

ATAQUES MAN-IN-THE-MIDDLEAtaques en el que un elemento hostil adquiere la capacidad de leer,insertar y modificar a voluntad, los mensajes entre dos partes sin queninguna de ellas conozca que el enlace entre ellos ha sido comprometido

1 El usuario ordena una transferencia

2 El atacante cambia la cuenta destino y la cantidad

Victima Atacante Banco

Interno: Externo:


Existen múltiples vectores de ataque(DHCP Spoofing, ARP Poisoning , etc.)

El atacante necesita estar conectado ala red local de la victima

En principio, el único vector de ataquees la infección del equipo de la victima

Existen troyanos que siguen esteesquema (Trojan.Silentbanker )

7

PHISHING

Un mismo objetivo,

distintas técnicas

Conseguir credenciales para acceso a aplicaciones / sistemas u obtener información crítica de personas y/o entidades:

- datos de cuentas y tarjetas de crédito

- condiciones comerciales de clientes

PHISHING = PASSWORD FISHING

distintas técnicas,

nuevas posibilidades.

PHARMING SCAMMINGVULN. SERV.

LEGÍTIMO TROYANOS ROOTKITS

NUEVOS CANALES

NUEVOS SISTEMAS AUTENTICACIÓN NUEVAS VULNS.

NUEVOS TIPOS

FRAUDE


FRAUDE

PHISHINGClasificación del Phishing / Scamming según Target

Bancario

Comercial

El objetivo del ataque de phishing es una entidad financiera.

Correos de Soporte y Seguridad (introduzca sus credenciales) / Correos amenazantes (cargos en cuenta)

PHIS

HIN

G

Social

Admin. Públicas

El objetivo del ataque es un tercero que, debido a su actividad comercial, efectúa transacciones económicas en la red susceptibles de manipulación de datos de cuentas y tarjetas.

Similar al anterior salvo que en este caso el objetivo es una entidad del ámbito público.

Consiste en apelar a cualidades humanas como la solidaridad, desesperación, avaricia, etc para conseguir que la víctima deposite datos bancarios en un servidor trampa. Los objetivos más frecuentes en este tipo de ataque son los sitios web de ONGs y entidades con fines sociales.

Portales de compra - venta y subastas / Recarga de móviles / Medios de Pago / Portales transferencias de dinero

Impuestos / Padrón

a e a a tes (ca gos e cue ta)


ISPs

El objetivo del ataque de phishing son proveedores de cuentas de correo en Internet como gmail, hotmail, yahoo, etc Es conocido que muchos usuarios almacenan datos de credenciales de acceso a banca electrónica y a otra información sensible en este tipo de cuentas de correo.

*En esta clasificación se han excluido las técnicas basadas en troyanos y rootkits.

p q yDonaciones / Ofertas falsas de trabajo / Obsequios /

Dinero fácil

Pharming gmail, yahoo / Formularios de registro para la descarga de software gratuito

8

LA GLOCALIZACION DEL FRAUDE ONLINECuenta bancaria: 10-1000 $

Tarjeta credito: 1-20 $

Cuenta ebay: 1-10 $

Exploits

Exploits

Servicios

Servicios

eID Data eID Data


ExploitsMalware a medida: 800 $ Hasta 1.500.000 bots

Alquiler Bot / semana: 0,3 €

Cadena de

valor sustraído

INFRAESTRUCTURA Y PROCESOS DEL CRIMEN ORGANIZADO

Spam Relays

Víctimas

1 .-Se envía spama las víctimas Botnet Log

5.-Captura y almacenamientode información

Spam Relays(Botnet)

2 .-La intervención del usuario(click URL, attachement) redirije a

3.-Descarga exploitde entrega (dropper)

4.-Dropper se descargael programa troyano principal

Malware site #3


Botnet DropperMalware site #1

Botnet TrojanMalware site #2

C&C

9

INFRAESTRUCTURA Y PROCESOS DEL CRIMEN ORGANIZADO: BOTNETS

1.- Infección malware

2.- Fraude

3.- IncorporaciónA Botnet

4.- Infección malware

4.- Fraude


4.-DDoS4.-Spam

4.-Hosting / Log

VULNERABILIDADESGMV SOLUCIONES GLOBALES INTERNET


10

VULNERABILIDADES Y CICLO DE VIDA FRAUDEVulnerabilidad: debilidad en procedimientos, diseño,

implementación o control que puede ser explotada y conducir a una brecha de seguridad


GESTION DE VULNERABILIDADES

Las vulnerabilidades están presentes en todos los activos:

VULNERABILIDADESVULNERABILIDADES VULNERABILIDADESTECNOLÓGICAS

APLICACIÓNINFRAESTRUCTURA Y COMUNICACIONES

PRODUCTOSPAQUETIZADOS

CONFIGURACIÓN INAPROPIADA

DESARROLLOS PROPIOS O DE

TERCEROS

VULNERABILIDADESEN PROCESOS

ENTREGA CREDENCIALES

ENTREGA BIENES

VULNERABILIDADESEN PERSONAS

USUARIO

PERSONAL PROPIO


PUERTOS INECESARIOS

ABIERTOS

ACCESOS INSEGUROS A BASES

DE DATOSAGUJERO DE

SEGURIDAD MS EXPLORER

LISTADO DE DIRECTORIOSOPCIONES DE

DEBUG HABILITADASCONTRASEÑAS POR

DEFECTOPERMISIVIDAD DE PETICIONES

RECURSIVAS DNS

AUSENCIA DE CONTROL DE PERMISOSAUSENCIA DE

CONTROL DE PARÁMETROS DE

ENTRADA / SALIDAACCESO INSEGURO A FICHEROS

TRATAMIENTO INAPROPIADO DE PARÁMETROS DE

SESIÓNABUSO DE FUNCIONALIDADES

DESBORDAMIENTO DE BUFFER

ACCESOS DE ADMINISTRACIÓN NO RESTRINGIDOSACTIVACIÓN POR

DEFECTO DE MS MESSENGER

11

VULNERABILIDADES 2.0

Más del 50% del tráfico en la red corresponde a P2P, contenidos de seguridad (y legalidad) frecuentemente cuestionable

Las redes sociales pueden suponer una fuente de riesgos importante (privacidad robo de identidad vigilancia )importante (privacidad, robo de identidad, vigilancia,...)

USA: condenas por intervenciones fraudulentas en foros

Perspectiva técnica:

Los administradores de webs 2.0 no gestionan sus propios contenidos (e.g widgets, contenidos de usuarios)

Vulnerabilidades en la plataforma tecnológica (AJAX, RIA,


Vulnerabilidades en la plataforma tecnológica (AJAX, RIA, Web services)

Cross site scripting, cross site request forgeries

VULNERABILIDAD Y AUTENTICACIÓN

Diversidad de mecanismos (uno o varios factores):

Teclado virtual (pantalla)

Certificados

Almacenados en el NavegadorAlmacenados en el Navegador

Chip criptográfico

One Time Password (OTP)

Dispositivos hardware USB (tokens).

Otros dispositivos (Móvil, “Calculadora”)

Mecanismos de dos canales (SMS)


El despliegue de estos mecanismos implica consideraciones de seguridad, costes y aceptación por los clientes

El problema de seguridad en las transacciones online no es sólo de autenticación de usuario: vulnerabilidad ante los nuevos ataques

12

REFLEXION SOBRE VULNERABILIDADESVulnerabilidades en IT y responsabilidades sobre riesgos:

Las condiciones habituales de EULAs no ofrecen garantías sobre la seguridad del softwareNo existen SLAs sobre parches

¿Hacia sistemas seguros por defecto?¿Hacia sistemas seguros por defecto?

El papel de sistemas de certificación (e.g. Common Criteria, autocertificación)

¿Sistemas “a prueba de usuarios”?

Las inversiones en seguridad (reducción de vulnerabilidad) pueden abordarse con criterios de RAR (rentabilidad ajustada al riesgo)

B á ti d di ñ


Buenas prácticas de diseño seguro:

SimplicidadCompartimentaciónDiversidad

PROGRAMAS DE CERTIFICACIÓN: PCI-DSS

Payment Card Industry Data Security Standard: Estándar de Seguridad para todas aquellas empresas, bancos y organizaciones que procesan, almacenan o transmiten datos de pago con tarjetas, a fin de protegerse de ataques a los mismos

Controles y objetivos:

Desplegar y mantener una red segura

Proteger los datos del usuario

Mantener un programa de gestión de vulnerabilidades

I l t did t i t d t l d l d t


Implementar medidas estrictas de control de accesos a los datos

Monitorizar y testear regularmente la red

Mantener una política de seguridad de la información

13

LUCHA CONTRA EL FRAUDE

GMV SOLUCIONES GLOBALES INTERNET

FRAUDE


ENTENDIENDO AL ADVERSARIO

Amenazas:Ley / acción policial Medidas de seguridadTrazabilidad flujos monetarios

Debilidades:Necesitan apoyarse en algo que no tienen

(capacidad de obrar)

Su comportamiento se desvía de patrones habituales y aceptados

Valor sustraído (¿cierto en todos los países?)

Oportunidades:Crecimiento del mercado online

Poca competencia

Accesibilidad de los recursos (tecnología, servicios, recursos humanos)

Vulnerabilidades

F t ió d l i l ( í t )

Fortalezas:Capacidad evolución técnica superior al rival

(velocidad)

Capacidad ocultación

Valor sustraído (¿cierto en todos los países?)

Eslabón humano. Dinámica fase final del fraude

Las vulnerabilidades de sus sistemas

Su cadena de desconfianza


Fragmentación del rival (países, agentes)

Anonimato en la red

pConocimiento del rival

Sin reglas (salvo las internas)

¿Una rentabilidad muy alta en relación al riesgo?

Estrategia actual: distribución daño – concentración beneficios – distribución riesgos

14

DINÁMICA DE LA LUCHA CONTRA EL FOPREVENCIÓN:El SGSI como marco de referenciaDespliegue de servicios segurosGestión VulnerabilidadesFormaciónInvestigación (e.g análisis malware)g ( g )Preparación respuesta ante incidentesDisuasión

DETECCIÓN:VigilanciaMonitorización y análisis eventos (e.g correlación)Alerta tempranaInteligencia de comportamiento servidores clientes y atacantesControlAuditoria REACCIÓN:

Análisis ataque y contramedidas

CERTS,SOCs


Anulación de servicios / usuarios comprometidosRestauración de servicios afectadosCierre de IPs atacantesCierre de repositorio de datosGestión de evidencias. Análisis forenseAcción legal y policialComunicación

LUCHA CONTRA EL F.O.: UNA VISION GLOBALNecesario involucrar a todos los agentes e introducir los incentivos

para que cada uno haga su aportación:Proveedores de servicios financieros y comercio electrónicoIndustriaIndustriaISPsUsuariosAdministración

Algunas barreras en la lucha contra el fraude:

Asimetrías en la información (e.g. calidad/precio en productos de seguridad)


Externalidades (efectos sobre terceros de decisiones propias)

Descarga de responsabilidad (liability dumping).

Homogeneidad tecnológica.

Legislación fragmentada

15

EL IMPACTO ECONÓMICO DEL FRAUDE

Como inhibidor del negocio electrónico, su impacto va más allá de las cantidades efectivamente defraudadas

Otros daños derivados (e.g. Restauración servicio, atención usuarios,...)

Impacto en intangibles (e.g. marca)

Impacto en gasto en seguridad (¿perspectivas 2008?)

¿Quién asume las consecuencias del fraude?

Regulación diversa

Diferentes prácticas comerciales:

APACS: “Customers must also take sensible precautions however so that


APACS: “Customers must also take sensible precautions however so that they are not vulnerable to the criminal”ABA: “"When a customer reports an unauthorized transaction, the bank will cover the loss and take measures to protect your account."

Tendencia UE: protección del consumidor

Transferencia del riesgo: seguros, un segmento poco desarrollado

CONCLUSIONES

El fraude online está experimentando un crecimiento inquietante a manos de una mafia profesionalizada y con el malware como vector de compromiso de los sistemas

Mejores prácticas: gestión de la seguridad, implementación de servicios j p g g , pseguros (redes, aplicaciones, datos, procesos, personas), gestión vulnerabilidades, auditoría, formación

El usuario es el eslabón más débil de la cadena. Los servicios deberían diseñarse para proteger este eslabón también de las consecuencias del fraude

El fraude online no se puede combatir eficazmente por ninguno de los agentes aislado


16

CONCLUSION


Gracias por su atención

Nombre:Luis Fernando Alvarez-Gascón

Cargo:Director General

Email:


Email:

www.gmv.com

GMV SOLUCIONES GLOBALES INTERNET Fraude...

Documents

Transcript of GMV SOLUCIONES GLOBALES INTERNET Fraude...