En su empecinada búsqueda de ganancias económicas, los cibercriminales atacan directamente a donde los usuarios manejan su dinero, es decir, sus cuentas bancarias. Con el desarrollo de posibilidades para hacer todo tipo de transacciones por Internet, fue inevitable que pusieran su atención en tratar de vulnerar estos servicios.
El abanico de amenazas que puede utilizar un atacante con este objetivo es bastante amplio: desde una sencilla campaña de correo electrónico que con un enlace que dirija a un sitio de phishing hasta diferentes familias de códigos maliciosos, con características particulares como el uso de Ingeniería Social, interceptación del tráfico de red o modificación del sistema, entre otras posibilidades.
Dentro de esta amplia variedad, los troyanos bancarios tienen un puesto principal por las facilidades que le ofrecen a un atacante, y algunos tienen características muy particulares.
A continuación veremos el top 5 de amenazas dedicadas al robo de credenciales bancarias:
1. La Ingeniería Social, punta de lanza
Cuando hablamos de códigos maliciosos del tipo troyano es inevitable no relacionarlos con técnicas de Ingeniería Social. En el caso de los bancarios, hay unas familias en particular que tienen una alta dosis.
La familia Win32/Spy.Bancos tiene la finalidad de robar credenciales bancarias de entidades financieras. Cuando un usuario recibe una muestra de este tipo de código malicioso y lo ejecuta, se abrirá en su dispositivo una ventana muy similar a un navegador web en lo que parece ser la página de una entidad financiera
Otras variantes de esta misma familia esperan que el usuario abra un navegador y quiera entrar a una página legítima de un banco para abrir este falso navegador. En este caso este falso navegador no permite al usuario acceder a otras páginas web ni realizar otras actividades diferentes a ingresar los datos en los formularios falsos.
2. Modificaciones silenciosas del sistema
Hay otro tipo de amenazas bancarias que realizan cambios directamente sobre el sistema de manera“automática” cuando se inicia la computadora; de esta manera, el código malicioso logra realizar los cambios necesarios en el sistema para lograr su objetivo.
Cuando se ejecuta el troyano, se conecta a una dirección URL remota desde la que descarga un archivo de texto por el cual reemplaza al archivo original, forzando al usuario al caer en un servidor falso la próxima vez que intente acceder a la banca electrónica.
Otra familia de códigos maliciosos, en lugar de modificar el archivo host, inyecta código de manera dinámica en determinadas páginas web; en el momento en que el usuario acceda a las mismas, esta información se envía a una dirección de correo electrónico con los datos del usuario.
3. Troyanos para enmascarar la descarga de otras amenazas
Una de las características de los troyanos con mayor cantidad de detecciones actualmente es que no realizan la acción maliciosa directamente, sino que son utilizados para descargar al equipo de la vícitma la amenaza que roba las credenciales bancarias o que intercepta los datos de las transacciones comerciales.
Este tipo de amenazas simulan ser diferentes tipos de archivos, dentro lo más comunes documentos de ofimática, archivos PDF o fotografías. Sin embargo, es común que tengan doble extensión y como muchas veces en el sistema operativo viene desactivada la opción de ver las extensiones de los archivos, suelen pasar inadvertidas -por lo general SCR o la menos común EXE.
4. Interceptar tráfico de las transacciones
El objetivo de la familia de amenazas anterior es preparar el terreno para que se efectúe el robo de información del usuario, y así lograr que los cibercriminales obtengan datos de los usuarios.
Otros códigos tiene la particularidad de vulnerar SSL haciéndole creer a los usuarios que están en un sitio web seguro y desviando todo el tráfico a servidores maliciosos para robar la información de la transacción.
5. Amenazas bancarias en Android
Si bien la gran mayoría de amenazas que tratan de comprometer las transacciones bancarias las encontramos para Windows, de a poco hemos podido detectar un incremento en la aparición de familias enfocados en Android, así como en las últimas versiones de Windows.
En el caso de Android, cuando el usuario descarga este tipo de aplicaciones maliciosas, se solicitarán permisos de administrador y una vez que se active, se elimina el ícono del menú principal y no permitirá que el usuario la pueda desinstalar.
Fuente: http://www.welivesecurity.com/la-es/2015/09/01/5-amenazas-robo-de-credenciales-bancarias/