2014, el año de las violaciones de seguridad en el punto de venta
En 2014, la violación de los sistemas de puntos de venta de las cadenas de tiendas minoristas, y el robo de datos de tarjetas de crédito de millones de compradores ocuparon los titulares de los periódicos, más que cualquier otra amenaza de fraude o cibercrimen. La mayoría de dichas violaciones puede atribuirse a ataques de malware en los puntos de venta.
A pesar de la facilidad de apuntar a la información bancaria y de tarjetas de crédito de usuarios individuales, los estafadores se encuentran que comprometer a las tiendas minoristas resulta mucho más lucrativo, y que también es posible afectar a los comerciantes más pequeños. Un método común de ataque e infección es aprovechar la conexión de acceso remoto del proveedor en el punto de venta (mediante RDP/VNC) para realizar un mantenimiento rutinario en el dispositivo. La mayoría de los atacantes de malware en los puntos de venta enumeran los procesos en ejecución y utilizan coincidencias de patrones (mayormente, RegEx) para identificar y extraer información sobre tarjetas de crédito de la memora del proceso en ejecución.
Entre el malware en el punto de venta, se incluyen los siguientes:
Chewbacca: un troyano privado que incluye dos mecanismos de robo de datos distintos: un registrador de digitación genérico y un escáner de memoria diseñado para atacar específicamente sistemas de puntos de venta. Fue identificado como un posible agente de las violaciones del sistema de puntos de venta que afectaron a las tiendas minoristas en 2014.
Backoff: en puntos de venta: incluye un registrador de digitación, un capturador de memoria y un recopilador de datos magnético Track1/Track2, con compatibilidad adicional con lectores de tarjetas magnéticas integrados en el teclado.
LusyPOS: incluye un recopilador de datos magnético Track1/Track2 que se comunica por la red TOR, lo que hace que las comunicaciones y los servidores C&C sean más difíciles de detectar.
El Malware para dispositivos móviles
Con la progresiva adopción de la movilidad y el modelo BYOD, las amenazas para dispositivos móviles continuaron logrando un impulso considerable en 2014. La cantidad combinada de malware móvil y aplicaciones de alto riesgo alcanzó los dos millones, un crecimiento de 170,000 por mes.
En el segundo trimestre de 2014, el 85 % del mercado de dispositivos móviles estaba ocupado por Android, y el 98 % de la totalidad del malware para dispositivos móviles afectó a los usuarios de dispositivos Android.
Bot móvil de iBanking: un secuestrador de SMS diseñado para trabajar conjuntamente con troyanos bancarios. Fue descubierto en salas de conversación clandestinas por el Equipo de investigación de RSA en febrero de 2014, y código fuente filtrado reveló capacidades y mecanismos de protección contra SDK avanzados.
El bot cuenta con varias funciones, incluidas la enumeración de todas las aplicaciones instaladas en el dispositivo infectado, la recopilación de imágenes del dispositivo y la obtención de datos precisos de ubicación geográfica. Una función agregada es la creciente compatibilidad con entidades objetivo adicionales; un análisis reciente identificó casi 30 plantillas gráficas para iBanking.
El mercado clandestino se desarrolla
El mercado clandestino continúa desarrollándose, lo que permite a los estafadores contratar servicios externos con mayor facilidad. El Equipo de investigación de RSA ha identificado tendencias notables en el transcurso del año: la emergencia de monedas específicas de foros (MUSD, UAPS, United Payment System); un sistema de pago anónimo y nuevo, conocido como LessPay; y una oferta y demanda que no solo disminuye los costos de las credenciales, sino que también genera el advenimiento de una aplicación móvil para tiendas CC.
Fraude localizado específico de cada región
Una tendencia que parece continuar desarrollándose es el fraude específico de cada región que está dirigido a una región geográfica o idioma en particular. Los países latinoamericanos parecen estar experimentando un aumento en el fraude financiero en 2014, con estafadores que comienzan a desarrollar una sofisticación en sus herramientas y sus métodos.
Entre los casos de fraudes latinoamericanos, se incluyen los siguientes:
Fraude de Bolware y Boleto: en julio, el Equipo de investigación de RSA descubrió que una gran red de estafadores había afectado el popular método de pago Boleto en Brasil mediante la implementación de malware que se estima que facilita el robo de miles de millones de dólares de víctimas inocentes. Mientras el fraude de Bolware y Boleto continúa evolucionando como una versión “Onyx” de Bolware, también se detectó un método de infección de DNS no relacionado con malware que afectó las transacciones de Boleto.
ACERCA DE RSA
RSA, la División de Seguridad de EMC, es el proveedor principal de soluciones de seguridad impulsadas por inteligencia. RSA ayuda a las principales organizaciones del mundo a superar sus retos de seguridad más complejos y confidenciales: administrar los riesgos de las organizaciones, proteger la colaboración y el acceso por medio de dispositivos móviles, prevenir el fraude en línea y proporcionar una defensa contra las amenazas avanzadas. Para obtener más información, visite mexico.EMC.com/RSA.