La
manera de hackear un banco no dista mucho del método antiguo para robar uno. Básicamente
consiste en entrar, conseguir el botín y salir. Pero un grupo de hackers innovadores hackearon un banco brasileño de una manera más integral y tortuosa.
Una
tarde de fin de semana redirigieron a todos los clientes online del banco a
sitios perfectamente reconstruidos; empleando phishing lograron que los
clientes entregaran toda su información sin ningún impedimento.
Investigadores
de la empresa de seguridad Kaspersky describen este como un caso sin precedente
de fraude bancario de grandes proporciones, en donde básicamente secuestraron todas las operaciones online de un banco.
A la
1 pm del 22 de octubre del año pasado, según afirman los investigadores, los hackers cambiaron los registros de
nombres de dominios del sistema de 36 propiedades online del banco. Tomaron
el control de los sitios web de escritorio y móvil para poder redirigir a los cliente
a sitios de phishing. En pocas palabras, los hackers robaron las credenciales
de inicio de sesión en sitios alojados en direcciones legítimas del banco. Los investigadores
creen que los piratas informáticos incluso lograron secuestrar cajeros automáticos
y puntos de ventas, de esta manera recolectaron datos de tarjetas de cualquier persona
que la utilizara ese día por la tarde.
Dmitry
Bestúzhev, uno de los investigadores de Kaspersky asegura que “todas las
operaciones en línea del banco estaban bajo el control de los atacantes, esto
se mantuvo así por un lapso de 5 a 6 horas”. Este investigador analizó el
ataque en tiempo real, dado que el malware que afectaba a los clientes provenía
de un dominio legítimo del banco. “todo el banco le pertenecía a los atacante
durante ese lapso de tiempo”.
DNS Stress
Kaspersky
no revelando el nombre del banco que fue atacado con redirecciones de DNS, solo
se limitó a decir que es una importante
compañía financiera brasileña con operaciones en los EE.UU. y las Islas Caimán,
5 millones de clientes, y más de $27 mil millones de dólares en activos. Los investigadores dicen que este
hecho debe servir como un ejemplo a los bancos de todo el mundo – quienes deben
considerar que la inseguridad en sus DNS podría ser una pesadilla total. “Se
trata de una amenaza conocida en internet”, dice Bestúzhev. “Pero nunca habíamos
visto que se explotara en una escala tan grande.”
El
sistema de nombres de dominio o DNS, sirve como un protocolo fundamental de
internet: traduce los nombres de dominio en caracteres alfanuméricos (como
Google.com) a direcciones IP como 74.125.236.195, que representan las
ubicaciones reales de las computadoras en dónde están alojados los sitios web u
otros servicios.
Ya
se habían visto ataque de este tipo; un grupo de hackers del ejército sirio alteró
el registro DNS de The New York Times para redirigir a los visitantes a una
página con su logotipo. Recientemente, el ataque de la botnet Mirai al
proveedor de DNS Dyn dejó una parte importante de la web sin conexión,
incluyendo Amazon, Twitter y Reddit.
Pero
los atacantes del banco brasileño explotaron el DNS de manera más centrada y
con fines de lucro. Con el dominio secuestrado, cualquier persona que visitara
la URL del sitio web del banco, era redirigida a sitios de aspecto similar. Esos
sitios incluso tenían certificados HTTPS
válidos emitidos con el nombre del banco.
El
secuestro fue tan completo que el banco no era capaz de enviar correos
electrónicos. “Ni siquiera podían comunicarse con los clientes para enviar una
alerta”. Aparte de la suplantación de identidad, los sitios falsificados
también infectaban a las víctimas descargando malware que se disfrazaba como
una actualización de seguridad para un complemento del navegador.
El
troyano también incluía una función destinada a desactivar
el software antivirus; para las víctimas
infectadas, el ataque pudo haber ido más allá de las cinco horas que duró. Y partes
del software malicioso incluía lengua portuguesa, dando a entender que los
atacantes pueden haber sido brasileños.
Después
de unas cinco horas, los investigadores de Kaspersky creen que el banco
recuperó el control de sus dominios, probablemente llamando a las instituciones
donde tenían sus registros y convenciéndoles de corregir los registros DNS.
¿Cuántos
clientes del banco se vieron envueltos en el ataque DNS? Esto sigue siendo un misterio. Kaspersky dice que el banco no
ha compartido esa información con la empresa de seguridad, ni ha revelado
públicamente el ataque. Pero la empresa dice que es posible que los atacantes
podrían haber recolectado cientos de miles o millones de datos de cuentas de
los clientes, no sólo de su esquema de phishing y el malware, sino también de
la redirección de cajeros y puntos de ventas.
La
empresa a cargo del registro DNS del banco ha minimizado los datos
proporcionados por Kaspersky. Negaron haber sido hackeados, pero si aceptaron
haber sufrido algún tipo de ataque.
Kaspersky
sostiene que para los bancos, el incidente debería servir como una clara
advertencia para comprobar la seguridad de su DNS. Muchos bancos no gestionan
sus propios DNS. Dejando esta labor en manos de terceros vulnerables.
¿Qué
opinas de este espectacular ataque? Por favor comparte el post en las redes
sociales.