En la noche de ayer, hemos detectado una gran cantidad de actividad
delictiva relacionada con cuatro bancos argentinos y dos chilenos. Todos
los
bancos mencionados tienen en común el uso de la tarjeta de
coordenadas como "segundo factor de autenticación", lo cual como ya
hemos mencionados anteriormente en
Segu-Info, es poco confiable y fácil de burlar ya que los usuarios no prestan atención a este tipo de medidas de seguridad.
Un delincuente ha estado trabajando activamente para crear los sitios
falsos de los
bancos mencionados en un servidor especialmente montado
para tal fin y alojados en X10hosting LLC.
A continuación daremos un vistazo a cada uno de los sitios y la forma en
que han sido desarrollados. Inicialmente, todos los sitios se
encuentran alojados en el mismo servidor (IP
198.91.XXX.XXX) y en el mismo directorio
"~galicia":
Para dificultar las tareas de rastreo de herramientas automatizadas, los directorios reciben nombres extraños y largos como
"SANTANDERCLSDFHTYTGFDCFVGBHYUJIJKOJUHYGTF" o
"CHILEHYGFWERTYUIKKKKKKKKKJHGFDSXC".
Al comenzar a analizar cada caso se puede ver que los sitios han sido
muy bien duplicados, con detalles que apuntan a engañar la mayor
cantidad de usuarios posible (excepto la dirección IP que seguirá siendo
visible en la barra de direcciones).
Banco Santander Río (Argentina y Chile)
Inicialmente el usuario ingresa a la página principal del banco
(home-banking):
Cuando presiona "Ingresar", se le solicitan sus datos de acceso (RUT en el caso de Chile y DNI en el caso de Argentina):
Luego, se solicitan los datos de los 81 campos de la tarjeta de
coordenadas de forma desordenada, para dar una mayor sensación de
seguridad:
Banco Macro (Argentina)
En este caso se ingresa al sitio principal de
homebanking y posteriormente se solicita el ingreso de los datos de acceso del usuario.
Una vez robados estos datos, se solicita la tarjeta de coordenadas del banco, también de manera desordenada:
Banco Galicia (Argentina)
En este caso se ingresa al sitio principal de
homebanking:
Posteriormente se solicita el ingreso de los datos de acceso del
usuario. En este caso se puede observar que el sitio real fue descargado
el 05/07/2014 para luego comenzar a subirlo a distintos servidores
fraudulentos:
Luego, como sucede en los casos anteriores, se solicita la tarjeta de coordenadas:
Banco Credicoop (Argentina)
Nuevamente, se ingresa al sitio principal de
homebanking y se solicitan los datos del adherente:
En el caso del Banco de Chile, lo que sucede es exactamente lo mismo que lo analizado hasta ahora en las demás entidades.
Robo de datos
Con respecto a la forma en que se roban los datos, siempre se utiliza un
archivo PHP al que se le envía un parámetro sobre el tipo de
información a recolectar. Por ejemplo el parámetro
"STP=sendcard" indica que se deben solicitar los datos de la tarjeta de coordenadas:
Como podemos ver, el delincuente ha puesto mucho énfasis en maximizar
sus ingresos y para ello ha multiplicado la cantidad de bancos que ataca
y todos ellos tienen en común que utilizan las tarjeta de coordenadas
como "segundo factor de autenticación".
La facilidad con que los usuarios son engañados a través de esta metodología sólo indica que
los bancos deben comenzar a migrar hacia metodologías más seguras de autenticación, como por ejemplo los tokens y tomar la responsabilidad de proteger a sus usuarios.
Nota: luego de la denuncia de
Segu-Info, todos los sitios han sido eliminados.
Cristian de la Redacción de Segu-Info
