Hace varios años ya que las plataformas de banca electrónica se han impuesto como un canal cada vez más eficiente para desarrollar transacciones bancarias sin salir de la casa u oficina.

Sin embargo, las plataformas de “home banking” son finalmente aplicaciones web expuestas sobre la Internet y por ende, sus usuarios un público altamente atractivo para personas mal intencionadas. Esta es la razón que genera una gran atracción de los criminales para atacar las plataformas de banca electrónica:

• Sin plataformas públicamente expuestas en Internet;
• Sus usuarios son altamente atractivos, debido a que llevan la intención final de ejecutar una transacción financiera;

La carrera de evolución de estos ataques, empezó hace más de 7 años cuando inició lo que rápidamente fue nombrado como Phishing. Y su complejidad ha crecido en la medida que la industria bancaria ha adoptado tecnologías de seguridad tendientes a mitigar el problema.

La siguiente gráfica muestra la evolución de la problemática de seguridad que afecta las plataformas de banca electrónica en los últimos años.

Gartner, en su reporte “The War of Phishing is Far From Over” (La guerra contra phishing esta lejos de acabarse), muestra los resultados de esta metodología de ataques en la población de los Estados unidos de América en donde más de 5 millones de consumidores perdieron dinero a causa de ataques de phishing o sus variantes durante el 2008.

Para Easy Solutions algunos de los ítems que nos hacen entender que la guerra contra Phishing está lejana a un feliz término, son los siguientes:

• Los esquemas de autenticación implementados en la actualidad basan su robustez en las decisiones del usuario final, lo cual hace que el esquema completo sea vulnerable a ataques de ingeniería social. (Ej. En esquemas de autenticación basados en One Time Password [OTP], es el usuario final quien debe determinar que esta conectado con el sitio correcto y en consecuencia entregar el OTP);
• El GAP de autenticación, el cual es un concepto técnico utilizado comúnmente para referirse a la vulnerabilidad intrínseca del proceso de autenticación. En ambientes altamente expuestos, como las plataformas de banca electrónica, este GAP se refleja en el poco o ningún control que tiene la institución autenticadora (la institución financiera) sobre los elementos autenticados (los usuarios) ya que no existe control sobre el medio (la conexión a Internet y el computador sobre el cual se accede a la plataforma de home banking).

Lo anteriormente expuesto abrió las puertas a las personas maliciosas que desarrollan ataques contra plataformas de banca electrónica, concentrando sus esfuerzos en ataques de pharming + malware que permiten:

• Envenenar el archivo host para adicionar entradas de redirección como lo muestra la siguiente gráfica:

• Ataques más sofisticados involucran malware + pharming + Proxy de man-in-the-middle. En donde los sitios de banca electrónica que son “targets” del ataque son redireccionados mediante un ataque similar al anteriormente descrito a la dirección de loopback 127.0.0.1 ó localhost; en donde esta corriendo un Proxy de manin- the-middle que toma una muestra de las comunicaciones entre el cliente y servidor y permite modificar los mensajes en tiempo real por el atacante.

La siguiente gráfica muestra un archivo host modificado por un ataque de esta naturaleza de un caso real en Latinoamérica.

A continuación se presenta un ejemplo hipotético que ejemplifica el proceso de captura de credenciales en este tipo de ataques.

El usuario ingresa a la plataforma de home banking real a través del proxy de man-in-the-middle.

Una vez el usuario ingrese las credenciales, el Proxy de man-in-themiddle capturará las mismas, tal como se muestra en las siguientes gráficas.

Credenciales ingresadas por el usuario en el navegador

Credenciales capturadas por el proxy de man-in-the-middle

La plataforma de captura le proporciona al atacante toda la información necesaria para: secuestrar la sesión a través de la cookie de sesión y las credenciales de acceso incluido el OTP, del cual solo tendrá entre 30 y 60 segundos para usarlo antes que sea invalido.

Un punto que vale la pena resaltar, es que esta misma plataforma le permite al atacante manipular los datos que se están moviendo entre cliente y servidor, de manera que el atacante podría esperar el momento en que ocurra una transacción para manipular los datos de la cuenta receptora de los fondos mientras la transacción va de camino a la plataforma de banca electrónica.

Desde diciembre 3 de 2008 cuando apareció el primer gran malware de robo de passwords disfrazado de un plug-in de Mozilla, el cual robaba información enviada a mas de 100 sitios financieros incluyendo: anz.com, bankofamerica.com, lloydstsb.co.uk y paypal; la evolución de este tipo de ataques ha sido sin precedente. Gartner, en su reporte New Bank-Targeted Trojan via Firefox Saps Consumer, considera que este tipo de ataques serán copiados y mejorados en la medida que los criminales continúan innovando para tener accesos no autorizados a cuentas financieras.

Easy Solutions recomienda implementar estrategias de autenticación robustas para fortalecer el proceso de autenticación, no solamente por la presión en el cumplimiento de regulaciones, sino por la alta exposición de las plataformas de banca electrónica a ataques de Phishing y pharming que pueden comprometer la imagen de la organización y ocasionar pérdidas económicas.

En el proceso de definición de estrategias de autenticación es importante tener en cuenta los diferentes vectores de ataques de Phishing y Pharming. Algunos se presentan a continuación:

• Ataques de ingeniería social que engañan al usuario final; • Ataque de ‘Man in the Middle’ que escuchan la comunicación entre el cliente y el servidor;
• Ataques de ‘Man in the Browser’ que redirigen el usuario final a sitios replica para intentar robar las credenciales del usuario final;
• Ataques de malware que ‘envenenan’ el archivo host y/o DNS para redireccionar al usuario a sitios replica donde se intenta robar las credenciales;
• Trojan Proxy que instalan un redirector de http corriendo en la dirección local 127.0.0.1 y redirigen todo el tráfico del navegador a dicho Proxy para tomar una copia de los mensajes y enviarlos al atacante;

De lo anteriormente expuesto se puede concluir que no existe una única estrategia que cubra las diferentes amenazas a las que esta expuesta una plataforma de banca electrónica. Por el contrario, un enfoque de protección por niveles resulta la mejor alternativa de protección para procesos de autenticación masivos en aplicaciones altamente expuestas en Internet; en una mezcla de diferentes factores que permitan:

• Blindar el ciclo de autenticación de procesos maliciosos que puedan estar afectando la estación del usuario final;
• Proporcionar estrategias de autenticación ‘user-to-site’ que le permitan al usuario final identificar que está conectado con el sitio correcto;
• Implementar factores de autenticación que ‘eliminen’ la decisión del usuario de la ecuación de autenticación;
• Implementar factores de autenticación basado en conocimiento (lo que el banco conoce del usuario final);
• Implementar factores de autenticación basados en algo que el usuario tiene (OTP, USB Device, etc);
• Ofrecer protección complementaria para la estación del usuario final;
• Comunicar al usuario final acerca de la ocurrencia de transacciones potencialmente fraudulentas;

La estrategia de protección total contra el fraude de Easy Solutions (ETFP) combina diferentes tecnologías que permiten detener un ataque de fraude en cualquier fase del mismo.

En resumen, cuando se trata de autenticación de aplicaciones expuestas en Internet es importante definir una estrategia de autenticación que permita adicionar múltiples factores sobre una misma plataforma base.

Detect ID™ de Easy Solutions es la única plataforma de autenticación que combina la detección de procesos maliciosos durante el proceso de autenticación con el objetivo de blindarlo contra malware.

Detect ID™ tiene las siguientes características únicas:

• Permite sacar al usuario de la ecuación de autenticación mediante su poderoso motor de autenticación de dispositivos, el cual a través de hardware permite autenticar un dispositivo de forma verdadera.
• Implementa el concepto de autenticación ‘user to site’ mediante Identisite® el cual permite a cada usuario definir una imagen secreta con el banco cuyo propósito es permitirle identificar cuando realmente está conectado realmente con la entidad.
• DetectID incluye adicionalmente OTP (one-time-passwords) propietarios para implementar esquemas de autenticación vía correo electrónico o teléfonos celulares y se integra con las tecnologías líderes de la industria de OTP físicos como Vasco, RSA y Kobil.

La siguiente gráfica muestra un comparativo de los diferentes factores y métodos de autenticación contra la seguridad que ofrecen y la resistencia a diferentes amenazas que afecta las plataformas de banca electrónica, tal como fueron expuestas en el presente estudio.

Establecida en el 2002, con oficina principal en Sunrise (Florida), Estados Unidos. Easy Solutions es el único proveedor de seguridad enfocado exclusivamente en prevención de fraude, ofreciendo servicios e investigación anti-phishing, autenticación multifactor y detección de transacciones anómalas.

Easy Solutions posee un enfoque integral para manejar la prevención de fraude multi-canal y trabaja en alianza con líderes de la industria de otras áreas de seguridad soportando un amplio rango de plataformas heterogéneas.

URL documento original:
http://www.easysol.net/newweb/images/stories/downloads/Best_security_ practices_online_banking.pdf