La operación Emmental destapa agujeros en la seguridad bancaria
Investigadores de Trend Micro han localizado una operación criminal dirigida a bancos que utilizan las sesiones de tokens enviados a través de SMS para prevenir el fraude bancario. Bautizada como Emmental, la operación tiene entre sus víctimas a clientes de bancos en Suiza, Austria y Suecia, entre otros países.
- La campaña de fraude bancario Luuuk roba 500.000 euros en una semana
- AT&T planea evitar el fraude bancario con la geolocalización
- Nueva campaña de phishing bancario contra el Banco Popular
- ¿Ha sido hackeada mi cuenta de banca online?
- Casi dos millones de usuario fueron víctimas de malware bancario en 2013
Son varios los métodos empleados por los bancos para evitar que los delincuentes tengan acceso a sus cuentas online, como contraseñas, PIN o tarjetas de coordenadas, pero la forma en que las cuentas bancarias están protegidas podría estar llena de agujeros, al igual que un queso Emmental. Este es precisamente el nombre con el que investigadores de Trend Micro han bautizado a una operación criminal dirigida contra entidades bancarias que emplean estas medidas. Concretamente, las sesiones de tokens enviados a través de SMS, un método utilizado por algunos bancos en Austria, Suecia, Suiza y otros países europeos.
Los tokens de sesión son un método de autenticación de dos factores, que utiliza los teléfonos de los usuarios como canal secundario. Si se trata de iniciar sesión en la web de un banco, este envía a los usuarios un SMS con un número, que los usuarios tienen que introducir, junto con su nombre de usuario y contraseña habituales con el fin de realizar transacciones con el banco.
En la operación Emmental, los cibercriminales mandan a los usuarios de esos países correos electrónicos spoofing que parecen venir de minoristas on line, los cuales llevan un enlace malicioso o un archivo adjunto que infectan sus ordenadores con malware. Lo realmente novedoso es que las víctimas no se infectan con el malware bancario habitual, sino que el malware cambia la configuración de sus ordenadores y luego se elimina a sí mismo.
El malware cambia la configuración de los DNS de los ordenadores de los usuarios para que apunte a un servidor externo controlado por ciberdelincuentes, e instala un certificado raíz SSL en sus sistemas para que no vean ninguna advertencia de seguridad. Así, cuando los usuarios intentan acceder a la página web del banco, van a un sitio web malicioso que se parece al de su banco y, una vez que introducen sus credenciales, se les indica que instalen una aplicación en su smartphone. Se trata de una app Android maliciosa disfrazada de generador de tokens de sesión del banco. El ciberdelincuente no sólo obtiene las credenciales de banca online de las víctimas a través de la página web de phishing, sino también las sesiones de tokens necesarias para operaciones bancarias en línea, accediendo al control total de las cuentas bancarias de las víctimas.
De momento, los criminales detrás de esta operación tienen como objetivo a usuarios de Internet en Suiza, Austria, Suecia y Japón, aunque pueden ir añadiendo víctimas potenciales a su lista.
