Mientras el mundo observa cómo sus selecciones nacionales favoritas compiten en la cancha, los profesionales de seguridad de TI de casi todos los bancos de Brasil están librando otra batalla contra los cibercriminales
Desde mediados de junio, con la Copa del Mundo 2014 en pleno desarrollo, todas las miradas se han puesto en Brasil. Mientras el mundo observa cómo sus selecciones nacionales favoritas compiten en la cancha, los profesionales de seguridad de TI de casi todos los bancos de Brasil están librando otra batalla contra los cibercriminales
A través de una investigación coordinada que abarca tres continentes, RSA Research ha dado a conocer detalles de una numerosa red de estafadores que basan sus hechos en malware, la cual está operando con gran eficacia para infiltrarse en uno de los métodos de pago más conocidos de Brasil: el Boleto.
De acuerdo con las pruebas recopiladas en esta investigación de fraude, RSA Research desbarató una red de estafadores que utiliza el malware del Boleto o “Bolware” que pudo haber comprometido 495.753 transacciones con Boletos en un periodo de dos años. Aunque la investigación no arrojó pruebas acerca de si los estafadores tuvieron éxito en el cobro de todas estas transacciones comprometidas, los investigadores de RSA hallaron pruebas de su valor, calculado en más de $ 3,75 mil millones de dólares (R$ 8,57 mil millones).
El Boleto Bancário o, sencillamente, Boleto es un instrumento financiero que permite a un cliente (“sacado”) pagar un monto exacto a un comerciante (“cedente”). Todo comerciante con una cuenta bancaria puede emitir un Boleto asociado a su banco; ese Boleto, luego, se envía al cliente para que pague lo que sea de su hipoteca, sus facturas de energía, impuestos o facturas médicas mediante transferencia electrónica. Los Boletos pueden generarse tanto fuera de línea (copias impresas) y enviárselos a los clientes o en línea (por ejemplo, a través de tiendas en línea) para pagos electrónicos. La popularidad ha aumentado por lo conveniente que es para los consumidores, ya que no necesitan una cuenta bancaria personal para realizar pagos con los Boletos.
El sistema de Boleto está regulado por la FEBRABAN (Federación Brasileña de Bancos) y el SPB (Sistema de Pagos Brasileño) y se ha convertido en el segundo método de pago más conocido (detrás de las tarjetas de crédito) del Brasil. E-bit, una empresa de investigación del mercado
electrónico de América Latina,calcula que 18 % de todas las compras en línea, efectuadas en 2012 en Brasil, se realizaron con Boletos.
FRAUDE CON BOLETOS
Hasta hace poco, el ataque más común usado era la falsificación de Boletos que eran generados fuera de línea por estafadores y se enviaban a las víctimas mediante ingeniería social (por correos electrónicos no deseados o, incluso, por correo postal común). Los Boletos alterados son muy parecidos a los Boletos legítimos, pero el código de barra y los campos del número de id. están modificados por lo que el pago se redirecciona a la cuenta bancaria del estafador (traficante). Por otro lado, los campos, tales como la fecha de vencimiento, la identificación del comerciante y el valor del dinero, a menudo, permanecen sin modificaciones, lo que hace que el fraude sea muy difícil de ver.
El ingreso del malware del Boleto, un tipo de fraude más nuevo y sofisticado usado en Brasil que aprovecha la tecnología MITB (por medio del navegador) para atacar operaciones en línea, y se basa en la modificación de transacciones del lado del cliente.
El malware del Boleto, visto, por primera vez, en libre circulación a finales de 2012 (también, conocido por los motores antivirus como “Eupuds”), infecta los navegadores web en los equipos basados en Windows (Google Chrome, Mozilla FireFox y Microsoft Internet Explorer) y, luego, intercepta y modifica la información del Boleto de manera que los pagos se redireccionen a una cuenta del estafador. Como el malware es MITB, todas las actividades del malware son invisibles tanto para la víctima como para la aplicación web. Desde su descubrimiento, los bancos de Brasil han invertido significativamente para combatir este malware mediante una variedad de medidas de seguridad y antimalware. Como toda operación cibercriminal considerable, la banda delictiva del Bolware ha seguido innovándose, al revisar su malware creado con un fin específico, el cual tiene 19 versiones diferentes.
Los métodos de la banda delictiva del Bolware parecen ser muy efectivos. Hasta la fecha, RSA Research ha descubierto que el valor total de todos los Boletos, que fueron modificados por este malware y almacenados en el servidor Bolware C&C, se calcula en U$S 3,75 mil millones.Es importante observar que este es un número estimado basado en el descubrimiento de 8095 números de id. fraudulentas del Boleto vinculados a 495 753 transacciones comprometidas. Si bien es posible que los estafadores que están detrás de esta operación hayan tenido la posibilidad de cobrar en efectivo estos Boletos modificados, no se sabe exactamente cuántos de estos Boletos fueron pagados efectivamente por las víctimas ni si todos los fondos se redireccionaron, de manera satisfactoria, a las cuentas bancarias controladas por los estafadores.
RSA Research, además, descubrió:
* 192.227: cantidad de bots de Bolware (equipos infectados y comprometidos) detectados por RSA Research, de acuerdo con las direcciones IP exclusivas
* 83.506: cantidad de credenciales de usuarios de correo electrónico robadas y recolectadas por el malware del Boleto
* 8095: cantidad de id. fraudulentas del Boleto
* 34: cantidad de sucursales de bancos específicas afectadas por la operación Bolware
El malware del Boleto es una operación de fraude importante y una grave amenaza de cibercrimen a los bancos, comerciantes y clientes bancarios de Brasil. Aunque es posible que la red de estafadores del Bolware no tenga tanto alcance como algunas operaciones de cibercrimen internacionales de más envergadura, pareciera ser una empresa extremadamente lucrativa para sus creadores. Tal como se describe en el análisis detallado de RSA Research, los desarrolladores han realizado un gran esfuerzo para hacer que Bolware sea efectivo y, además, difícil de detectar (al refinar características diseñadas para evadir la detección y la limpieza por parte de productos antimalware de terminales).
MITIGACIÓN Y LO QUE VIENE
RSA entregó su investigación, junto con una cantidad significativa de números de id. de Boletos e IOC (indicadores de compromiso) a las organizaciones encargadas del cumplimiento de la ley en EE. UU. (FBI) y en Brasil (Policía Federal) y ha estado en contacto directo con el consejo antifraude de FEBRABAN y sus bancos miembro. RSA está trabajando junto con estos entes en
la investigación mientras ayuda o asesora sobre la implementación de varias contramedidas de mitigación dentro de muchos bancos de Brasil que procesan Boletos. Estas contramedidas incluyen aprovechar FraudAction Service de RSA para ayudar en la suspensión de puntos de infección en circulación y la ubicación en listas negras de id. de Boletos fraudulentas.
RSA FraudAction puede identificar todos los números de id. de Boletos generados por malware y pasar estos números de Boletos alterados a sus clientes como fuentes de datos de listas negras.
Los números de Boletos alterados fraudulentos contienen información que los bancos pueden usar para bloquear transferencias fraudulentas y rastrear las cuentas que reciben el pago, y evitar futuros pagos a cuentas potencialmente fraudulentas.
Aunque el malware del Boleto y la manera en que éste modifica las transacciones de Boleto son difíciles de detectar, parece que sólo afecta Boletos generados o pagados en línea a través de equipos basados en Windows que usan tres navegadores web conocidos. RSA Research no ha observado pruebas de transacciones comprometidas a través de aplicaciones móviles de Boleto o carteras digitales de DDA (débito directo autorizado). Y, aunque la adopción de transacciones de Boletos por parte de usuarios a través de estos métodos todavía es escasa, los funcionarios FEBRABAN comentan a RSA que, por el momento, estas opciones representan alternativas de pago de Boletos seguras. Otro aspecto positivo es el hecho de que los Boletos emitidos por el gobierno (para el pago de impuestos y otras tasas municipales) tampoco parecen verse afectadas por la operación Bolware.
FEBRABAN insta a los clientes a estar atentos cuando realizan pagos con el Boleto y a verificar, antes de confirmar el pago, que todos los detalles, en especial, la id. del Boleto sean genuinos.
Como la banda delictiva del Bolware ha difundido su malware principalmente por phishing y spam, también, se insta a los consumidores de Brasil que tengan cuidado al hacer clic en vínculos o abrir archivos adjuntos en correos electrónicos o mensajes de medios sociales de remitentes desconocidos y que usen software antivirus actualizado para ayudar a proteger su equipo de infecciones.
RSA continúa controlando de manera activa esta situación mientras trabaja estrechamente con las instituciones financieras y encargadas del cumplimiento de la ley brasileñas para asistir en la mitigación de amenazas de Bolware.
