Fraude en Dispositivos Móviles
Curso Especialización Dispositivos Móviles
Facultad Informática, Universidad A Coruña
20, 21 y 22 junio 2012
Autor: Álvaro Del Hoyo
Mikel Gastesi
Fecha: 21 Junio 2012
La información contenida en este documento es propiedad intelectual de S21sec. Cualquier modificación o
utilización total o parcial del contenido de este documento sin consentimiento expreso y por escrito de S21sec
está estrictamente prohibida. La ausencia de respuesta a cualquier solicitud de consentimiento en ningún caso
deberá ser entendida como consentimiento tácito por parte de S21sec autorizando utilización alguna.
© Grupo S21sec Gestión, S.A.
// INDICE
1 2 3 4 5 6
*
Presentación
S21sec
Móviles en el
punto de mira
Malware como
vector de
ataque
Otros vectores
de ataque
Perjudicados
y perjuicios
Dudas y
preguntas
*
// 01
Presentación
S21sec
S21sec
12 años en el ámbito de la
seguridad.
Una prevención y
solución ante incidentes
24x7x365
Protección frente a todo tipo de
amenazas de ciberseguridad:
Gestión Integral
de la Seguridad
Multinacional especializada en
servicios y tecnologías de seguridad.
Expansión e internacionalización
8 oficinas en España
6 oficinas internacionales
Partnerships
comerciales en distintos países
Trabajamos en
proyectos en 26
países de Europa,
Estados Unidos,
Latinoamérica y
Oriente Medio
Sectores a los que llegamos
20% de las
compañías del índice
Dow Jones
Eurostoxx 50
90% del sector financiero
26 de las 35 compañías del IBEX
» Administración pública.
» Alimentación
» Sanidad.
» Defensa.
» Educación.
» Infraestructuras críticas.
» Energía.
» Industria.
» Farmacéutico.
» Banca y finanzas.
» Seguros.
» Telcos e Internet.
» Medios de comunicación.
» Entretenimiento.
» Turismo.
» Distribución y logística.
Un equipo especialista en seguridad
295 personas
Profesionales certificados reconocidos a nivel
internacional.
100% de nuestros profesionales
dedicados exclusivamente
a la seguridad.
Nuestros centros
Centros y laboratorios pioneros
especializados en ciberseguridad:
S21sec labs
S21sec CERT
S21sec intelligence center
S21sec university
295
ESPECIALISTAS en
seguridad certificados
y reconocidos
internacionalmente
20% DE LAS COMPAÑÍAS
DEL DOW JONES
EUROSTOXX 50 SON
CLIENTES DE
S21SEC RECONOCIDA por
ANALISTAS
INTERNACIONALES como una de las
mejores empresas a
nivel internacional
Proyectos en
26 PAISES
La
INNOVACIÓN como motor de negocio
*
// 02
Móviles en el
punto de
mira
En una sociedad hiperconectada…
…donde los dispositivos móviles se están
convirtiendo en el epicentro…
…siendo una “mina de datos”…
Pág.
14
…explotable de forma lícita…
Local
Mobile
Social
…o también por los “enemigos de lo ajeno”…
…, que pueden de forma ilícita ganar dinero…
• Spam
• Click fraud
• Black Hat SEO
• DDOS
• Pay per view
• Botnets
• Robo y reventa
• Robo identidad
• Proxies
• Robo OTP bancos
• Llamadas/SMS premium
• SMS flooding
Voz y mensajes
Datos personales
y de negocio
Acceso móvil
Internet
Todo en uno
…e incluso lavar dinero y hasta financiar el
terrorismo.
*
// 04
Malware como
vector de
ataque
Al tiempo que crece el número de apps…
…lo hace el malware en dispositivos móviles…
…especialmente en los Android,…
…aunque también en iPhones (y no sólo los
rooteados)…
…y la complejidad del malware móvil también
crece…
*
// 04
Otros
vectores de
ataque
Además de la falta de seguridad en los markets
de apps,…
…existen aplicaciones en otros sitios…
…pueden darse casos de fraude interno…
…la candidez humana…
…la ingeniería social…
…la deficiente legislación…
…el uso no previsto de servicios de red…
…la falta de seguridad en sistemas
asociados…
…e incluso las advanced persistent threats
*
// 04
Perjudicados
Perjuicios para usuarios…
Spam
Denegación
Servicio
Proxy Robo
Identidad y Fraude
Calidad
TIC
…perjuicios para operadores
Spam
Integridad
Redes y Servicios
Atención Cliente
Fraude
Pérdida recursos
Reputación
Número teléfono Dirección IP
…y perjuicios para terceros
Spam
Blanqueo
Capitales
Click Fraud
Robo Identidad y
Fraude
Espionaje Industrial
// ÍNDICE
*
Parte 2
Esquemas tradicionales
SPAM
SMShing
Vishing
Botnet
DDoS
Información? Ataque orientado? Venta?
Aplicaciones
Malware
SMS y llamadas Premium
Advertising
Ransomware¿?
Credenciales
OTP
Terminología y FUD
*
// Esquemas tradicionales 01
¿Todavía
hablamos del
SPAM?
SPAM
SMShing
• Definición: SPAM o engaño por SMS
SMShing
• Sí, sucede en la realidad!!
Más de lo mismo
Vishing
• Definición: Engaño mediante una llamada telefónica
– Tanto automatizado como manual
• ¡Más viejo que la pana!
• Sí, pero…. ¡Funciona!
Pura ingeniería social
-Confiamos en las personas
-No desconfiamos de amenazas
que no conocemos
-Pueden tener información nuestra
- Internet
-No te fíes ni de tus vecinos!
*
// Botnets 02
…controlados
remotamente…
Botnets
• ¿Tendencia? Similar a los PCs
• Pros:
– Siempre encendido
– Siempre conectado
• Objetivos:
– DDoS
– Información / punto de entrada
– PPI ?
– Envío de SMS Premium, etc
Al igual que en los PCs, el
objetivo es tener el dispositivo
controlado
*
// Aplicaciones (maliciosas o rogue) 03
¿Qué peligros
corremos?
Vectores de infección
• Infección de aplicación maliciosa
– Se engaña al usuario para que la instale
• Infección mediante aplicación legítima reempaquetada.
– Markets alternativos y descargas desde sitios no confiables.
– Control en los markets, etc, quedan fuera del ámbito de la charla de
hoy ;)
Todavía no hemos visto infección mediante drive-by,
pero ya hay pruebas de concepto.
En muchos casos, ¡por agarrados!
Vectores de infección (II)
• SMS malformados?
– Las gestiona el sistema operativo
– Tenemos aplicaciones de terceros
• Bluetooth
– Ingeniería social para infección
– Espionaje
• 1234 o 0000, ¿cuál eliges?
• Códigos QR
– Superponer pegatinas
– ¡Es como sacar el buen vino buen precio!
• NFC
– ¿Quién querría poner un link? “Jesús Gonzalez”
– El problema puede ser la implementación
• Por ejemplo, abrir URL directamente
Jugando con NFC
• Hackit ergo sum 2012, Abril 2012
– “Hacking the NFC credit cards for fun and debit ;)”, Renaud Lifchitz
– http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-
2012-rlifchitz-contactless-payments-insecurity.pdf
– http://code.google.com/p/readnfccc/
• Reads NFC credit card personal data (gender, first name, last
name, PAN, expiration date, transaction history...)
Números Premium
• Envío silencioso de SMS a números Premium
• Llamadas a números Premium
Números Premium (II)
• …ni siquiera el malware es obligatorio…
Número Premium (III)
• …pero es lo habitual
Advertising
• Cobras por cada clic en tus banners de publicidad
• ¿Incluso por número de visitas?
– Entonces, que abran y hagan clic en tu página, ¿no?
• Ejemplo – Flashback:
• …aplica a los móviles del mismo modo
Advertising (II)
Advertising (y III)
• …los nombres de los virus y amenazas, siempre todo tan claro… en fin!
Ransomware
Credenciales
*
// Robo del OTP 04
Un ataque
muy dirigido
Historia
• Érase una vez un pueblo navarro… …allá por finales de 2010…
El 2º factor de autenticación
El 2º factor de autenticación (II)
El 2º factor de autenticación (y III)
• Componente móvil para los troyanos bancarios
• Reenvío SMS POST a un servidor Web
¡Perdamos el miedo a destripar un .apk!
El 2º facto de autenticación
• Batallitas
– Bombardea su móvil
– Espiar al que robas, viaja?
– Clonado se SIM
*
// Cuestión de terminología 05
Zitmo?
Drive-by?
Dudoso uso de la terminología
…marketing? …buzz? …FUD?
– Zeus for mobile
– SpyEye for android
– Citadel for mobile
– Zitmo ¿?
– Spitmo ¿?
– Drive-by download ¿?:
– ATS?
FUD:
Fear, Uncertainty and
Doubt (miedo,
incertidumbre y duda)
Conclusiones - Preguntas