jueves, 31 de marzo de 2016

TIPOLOGÍA DE FRAUDE EN INTERNET

Resultado de imagen para TIPOLOGÍA DE FRAUDE EN INTERNET

Estudio sobre el fraude a través de Internet
TIPOLOGÍA DE FRAUDE EN INTERNET
En sus inicios, el fraude electrónico no era sino una traslación del fraude tradicional al mundo virtual. Así, las técnicas empleadas para cometer fraude representaban la actualización en Internet de los “timos” tradicionales. Esta dinámica se basaba en la explotación de vulnerabilidades sociales (es decir, engaños que buscan aprovecharse de la ingenuidad de la víctima), utilizando simples técnicas de ingeniería social con una baja complejidad tecnológica siendo hasta mediados de 2007 la manifestación más representativa del fraude electrónico.
Sin embargo, esta situación ha evolucionado y actualmente los fraudes tienen un componente tecnológico mucho más acusado. Así, cada vez tiene mayor relevancia el fraude basado en código malicioso o malware. Se trata de ataques más complejos técnicamente, personalizados y organizados, y por todo ello, más difíciles de prevenir, de identificar y de combatir.
El Anti Phishing Working Group (APWG) contempla ambas posibilidades en su definición de phishing, al que considera un mecanismo criminal que emplea tanto técnicas de ingeniería social como artificios técnicos con el objetivo de robar datos personales de los usuarios y credenciales bancarias. Las técnicas de ingeniería social incluyen correos electrónicos falsos, procedentes, en apariencia, de empresas o entidades legítimas, que dirigen al destinatario a webs falsas que replican las de la empresa o entidad legítima, para que introduzca datos personales o bancarios, tales como la clave de usuario y la contraseña para operar. Los artificios técnicos pretenden introducir malware en los equipos para robar directamente los datos bancarios, utilizando, por ejemplo, sistemas que interceptan clave de usuario y contraseña o programas que corrompen las infraestructuras de navegación y redirigen a los usuarios a webs falsas.
La problemática del origen del fraude (ingeniería social o malware) no es trivial ya que determina el carácter de la solución necesaria para enfrentarse a él:
Soluciones centradas en el usuario, con medidas de sensibilización, educación y formación oportunas (en el caso de la ingeniería social).
Soluciones más complejas, que exigen de un lado formación para el usuario, y de otro, herramientas de seguridad adecuadas (en el caso del malware).
En todos los casos, será clave, además, la actuación conjunta de la Administración, de las Fuerzas y Cuerpos de Seguridad del Estado, del ámbito judicial y fiscal, de los sectores afectados por el fraude, de las empresas de seguridad y de los diferentes actores relevantes para combatir el ciberdelito.
La evolución de los ataques y la sofisticación de los mismos hace que en muchas ocasiones nos encontremos con una combinación de técnicas para llevar a cabo el fraude.
Se analizan a continuación los incidentes de fraude detectados en España, diferenciando entre el fraude basado en técnicas de phishing y el que utiliza algún tipo de malware para llevarse a cabo. Para llevar a cabo el análisis se presentan datos procedentes de dos fuentes diferenciadas:
INTECO-CERT
S21sec
Los datos proporcionados por INTECO-CERT se ofrecen en la Tabla 5. En la interpretación de estos datos se debe tener en cuenta que una de las principales fuentes de información de INTECO-CERT son los usuarios finales, siendo mucho más sencillo para éstos detectar un phishing que un troyano bancario.
En cualquier caso, la información confirma una incidencia inicial mayor de los fraudes de tipo phishing. A partir de 2008 se observa un crecimiento de otros tipos de fraude, estabilizándose en los últimos trimestres la proporción entre los tipos phishing, malware y otros tipos.
Este es un indicio más de la tendencia a la diversificación de los tipos de fraude utilizados por los ciberdelincuentes intentando aprovechar todos los recursos a su alcance para conseguir sus fines (principalmente, de carácter económico).
La técnica de ataque sigue siendo el phishing, en primer lugar, con ritmos de crecimiento muy importantes. No obstante, tras un período de hegemonía de los ataques basados en ingeniería social, la realidad actual se caracteriza por un incremento de las situaciones con origen en código malicioso o malware. El Gráfico 4 profundiza en esta afirmación, ofreciendo la evolución del peso de cada una de las tres técnicas de ataque sobre el total de incidentes anuales.
Desde 2007 se detectan cada vez más casos de códigos maliciosos (troyanos), programas especializados en el robo de información que se descargan sigilosamente en el ordenador del usuario, y que se han incrementado notablemente en 2008.
Además, los ataques causados por redirectores han empezado a adquirir protagonismo desde 2007, y se prevé que en los próximos años se intensifiquen los ataques de esta categoría.
El peso de los ataques de phishing sobre el total de incidentes se reduce progresivamente. Esto no debe interpretarse como un retroceso de la ingeniería social en aras de ataques más sofisticados, sino como un crecimiento desigual de cada una de las tres técnicas.
Nos encontramos en un contexto en el que, año tras año, el volumen total de incidentes aumenta. La proporción que phishing, troyanos y redirectores ocupan dentro de ese total se modifica porque el ritmo de crecimiento de los dos segundos es muy superior al ritmo de crecimiento del phishing.
En cualquier caso, lo que es cierto es que el fraude ya no se produce exclusivamente como consecuencia de un engaño (ingeniería social). En la actualidad, está llegando a través de códigos maliciosos, como los troyanos. Esto quiere decir que para ser víctima de un fraude no hace falta que un usuario acceda a un correo electrónico que redirija a una página fraudulenta, sino que, estando un ordenador infectado y conectándose al banco, le pueden robar sus credenciales de forma silenciosa: los datos son enviados a un sitio central donde los atacantes, bandas organizadas en la mayor parte de los casos, hacen las transferencias ilegítimas sin necesidad de contar con la interacción del usuario. Si bien en la cadena del fraude, es necesaria la intervención humana en la fase de blanqueo de dinero, habitualmente se utilizan “mulas” o “muleros”. Personas que, a cambio de una comisión, participan en la circulación del dinero desde las cuentas de los usuarios defraudados hasta las de los ciberdelincuentes, realizándolo a través de diversos medios que pretenden anonimizar al destinatario final de los mismos, como Western Union o medios de pago electrónico.
S21sec, en su Informe sobre el fraude online 2008, augura que durante 2009 se pegará el salto a una nueva forma de fraude, que denominan fraude 4.0, y en la que “se utilizarán
datos recabados en las redes sociales para ganar credibilidad a la hora de cometer estos ataques”.10
Lo que parece claro es que cada vez es más amplia la casuística. En este entorno, debemos asegurarnos de disponer de las herramientas y prácticas de seguridad adecuados para hacer frente a estas amenazas. Además debemos ser cautelosos con nuestra información personal ya que se han detectado casos en los que se utiliza esta información personal robada para llevar a cabo otros delitos relacionados con ciertos tipos de fraude o incluso con casos de pornografía infantil.
En conclusión, el fraude electrónico es cada vez más complejo desde el punto de vista técnico, se lleva a cabo de manera más personalizada a las particularidades del destinatario, y se está profesionalizando en su ejecución.
Complejidad: la complejidad se aprecia tanto en la sofisticación de las herramientas para conseguir el fraude (robo de contraseñas mediante capturadores de pulsaciones, secuestros del navegador, redireccionamiento de webs…) como en la velocidad con que aparecen nuevas manifestaciones. Existen infinidad de variantes, dado que los creadores, para dificultar su detección, modifican sus códigos constantemente: en la actualidad, se crean miles de ejemplares de malware nuevos cada día.
Personalización: además, la tendencia es a una mayor personalización, articulando mecanismos de ingeniería social más especializados y adaptados al perfil de la persona objetivo del fraude. Frente a los anteriores ataques masivos e indiscriminados, que en ocasiones adolecían incluso de fallos idiomáticos u ortográficos, están proliferando comunicaciones más personalizadas, que utilizan datos personales válidos de la víctima que son extraídos de redes sociales o a través de otras técnicas (por ejemplo, whaling11 a directivos).
Profesionalización: por último, es una realidad que el fraude está más profesionalizado: han irrumpido en el panorama bandas organizadas, especialmente procedentes de países del este de Europa, Rusia, China y el sudeste asiático, capaces de utilizar técnicas sofisticadas para cometer acciones fraudulentas. Se trata de redes de crimen organizado que disponen de recursos
10 S21sec (2009). Informe sobre el fraude online 2008.
---------------------------------------------------------------
11 El whaling, también llamado “caza de ballenas" (whale en inglés). Es una evolución del phishing en la que el ciberdelincuente recaba información de contacto de personas de influencia y alto poder adquisitivo, como empresarios, autoridades y gerentes, habitualmente a través de la información contenida en redes sociales. Posteriormente le remiten un correo electrónico personalizado en el que se le trata de engañar para robar credenciales de cuentas bancarias personales o de la propia compañía. Algunas variantes utilizan la difusión de algún código malicioso que realice una vez instalado el robo de esta información. Este tipo de ataques se caracterizan por el elevado contenido de ingeniería social ya que los contenidos son específicos para el objetivo del fraude, derivando en una carga de confianza mayor ante los detalles de la información utilizada. El ejemplo típico de correo es el que simula contener una citación para el juzgado y que contiene realmente un código malicioso para robar información personal y credenciales de acceso..
------------------------------------------------------------------
tanto económicos como técnicos (por ejemplo la utilización de fast-flux12 en los dominios utilizados para alojar los contenidos fraudulentos).
Complejidad en su desarrollo, personalización a las particularidades del destinatario y profesionalización de su ejecución son características que definen la forma actual de llevar a cabo acciones de fraude electrónico y que, además, dificultan en cierto modo su detección, prevención y eliminación. Se trata de verdaderos ataques en los que ya no es suficiente el sentido común del usuario, sino que exigen la respuesta y actuación por parte de todos los actores implicados.
En el Anexo 1 se analiza desde un punto de vista práctico el funcionamiento de los troyanos bancarios en la comisión del fraude.
Fuente: Estudio sobre el fraude a través de Internet
INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA COMUNICACIÓN
El “Estudio sobre el fraude a través de Internet” ha sido elaborado por el equipo de trabajo del Observatorio de la Seguridad de la Información y el equipo de trabajo del Centro de Respuesta a Incidentes de Seguridad (INTECO-CERT) del Instituto Nacional de Tecnologías de la Comunicación:
Pablo Pérez San-José (Coordinador equipo Observatorio)
Susana de la Fuente Rodríguez
Laura García Pérez
Marcos Gómez Hidalgo (Coordinador equipo CERT)
Javier Berciano Alonso
Luis Blanco García
Elena García Díez
Manuel Ransán Blanco

Sandra Salán Clares

Fraude financiero y banca por Internet:

 Informe Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas Conclusión Nueve años después de la aparición del virus...