El fraude masivo de la banca móvil expone la necesidad de los bancos de seguridad de las aplicaciones, autenticación modernizada y análisis de riesgos

Samuel Bakken, 4 de Enero de 2021

Este artículo fue escrito en colaboración con Greg Hancell, Gerente Senior de Consultoría de Fraudes de OneSpan y con el aporte de Frederik Mennes, Director de Producto de OneSpan, y Will LaSala - Director Senior de Soluciones Globales.

Este verano pasado, el El FBI advirtió sobre un aumento en la actividad maliciosa apuntando a los servicios financieros móviles a medida que la actividad de la banca móvil aumentó en respuesta al COVID-19 y los bloqueos asociados. Esa advertencia se hizo realidad a finales de diciembre con el descubrimiento de un " granja de emulador malvado ”Que imitaba los dispositivos móviles de las víctimas para defraudar a los titulares de cuentas bancarias en Estados Unidos y Europa por millones de dólares.

El propósito de este artículo es concienciar a las instituciones financieras de esta amenaza recién descubierta, así como explicar el enfoque en capas para mitigar este fraude cada vez más sofisticado.

Escala y velocidad de fraude móvil nunca antes vistas

Los investigadores dicen que la escala y la velocidad de este esquema lo distingue de las incidencias pasadas de fraude móvil. Los atacantes construyeron una red de aproximadamente 20 emuladores que imitaban 16,000 dispositivos móviles y aprovecharon la automatización que permitió el drenaje de millones de dólares de las cuentas bancarias en solo unos días. Un emulador móvil es un dispositivo móvil virtual que imita la funcionalidad de dispositivos móviles reales y se hace pasar por la interacción de un usuario con él. Los emuladores se desarrollaron originalmente para permitir pruebas automatizadas de software en una amplia variedad de dispositivos.

Las acciones automatizadas por los atacantes incluyeron al menos las siguientes:

  • Cosechando los atributos del dispositivo
  • Ingresar nombres de usuario y contraseñas
  • Iniciar transacciones
  • Recibir y robar códigos de autorización únicos enviados por SMS
  • Ingresar esos códigos SMS robados para completar transacciones

Recolección de identificadores de dispositivos móviles

En algunos casos, los estafadores imitaron los dispositivos existentes de la víctima. En otros casos, los estafadores simularon a la víctima usando un nuevo dispositivo para acceder a su cuenta bancaria. Los investigadores no están seguros de cómo las credenciales bancarias se vieron comprometidas en primer lugar, aunque sus credenciales plausibles fueron robadas por malware, recolectadas a través de ataques de phishing o encontradas en la web oscura. No está claro exactamente cómo se recopilaron los identificadores de dispositivos, pero parece lógico que tales datos hayan sido recopilados por malware móvil presente en los dispositivos de las víctimas.

Qué pueden hacer las instituciones financieras para mitigar amenazas móviles similares

No hay una sola bala de plata que acabe con esta amenaza móvil. La mejor protección es un enfoque de defensa en profundidad en capas que consiste en (pero no se limita a) lo siguiente:

  1. autenticación fuerte de cliente;
  2. Análisis de riesgos del lado del cliente y del servidor para la prevención del fraude
  3. Blindaje de aplicaciones móviles con protección en tiempo de ejecución

Combatir la apropiación de cuentas modernizando la autenticación

La firma de analistas de servicios financieros recientemente sugirió Aite Group en su "Revisando su marco de control de autenticación" informan que “las instituciones financieras, las empresas de tecnología financiera y los comerciantes deben dar un paso atrás y revisar su marco de control de autenticación. Si han pasado algunos años desde la última vez que se revisó ese marco, con los avances tecnológicos durante ese período de tiempo, es probable que sea necesario actualizarlo ".

El robo de nombres de usuario y contraseñas utilizados para autenticar usuarios y pagos preparó el escenario para este fraude móvil. Estas credenciales estáticas de "factor único" son vulnerables al phishing si aún no se han visto comprometidas como parte de otras violaciones de seguridad de datos. La implementación de la autenticación multifactor (MFA) que utiliza códigos de autenticación dinámicos de una sola vez mitiga significativamente el riesgo de apropiación de la cuenta. Además de hacerse pasar por los dispositivos existentes de los usuarios, en algunos casos los atacantes pudieron activar nuevos dispositivos con las cuentas de las víctimas.

Un banco tampoco debe tomar a la ligera la decisión de qué canales utilizar para transmitir códigos de autenticación / autorización dinámicos. Se sabe que los códigos SMS son vulnerables al phishing e incluso a la interceptación. En este caso, los autores intelectuales detrás del esquema pudieron recibir códigos SMS con los dispositivos suplantados, lo que hizo que los códigos fueran inútiles en términos de protección de cuentas bancarias. Un ataque típico a las contraseñas / códigos de acceso de un solo uso (OTP) de SMS comenzará dirigiendo a la víctima a una página web de phishing que se parece a la del banco. Allí, el usuario ingresará sus datos que desencadenan la transmisión de una OTP por SMS. El malware presente en el dispositivo de una víctima obtendrá códigos SMS y los reenviará al atacante, lo que significa que la víctima nunca se conecta con el banco mientras interactúa con una página de phishing.

Las notificaciones push enviadas a través de un canal cifrado a una aplicación móvil que está fuertemente vinculada al dispositivo del usuario durante la activación probablemente habrían impedido que los atacantes recopilaran y usaran códigos de acceso de un solo uso por SMS para acceder a las cuentas o autorizar pagos. Además, aprovechar las funciones de hardware de los dispositivos móviles (por ejemplo, Secure Enclave en dispositivos iOS o Trusted Execution Environment / Secure Element en dispositivos Android) hace que sea mucho más difícil robar identificadores de dispositivos. Exigir la autenticación biométrica junto con la confirmación de una notificación push habría proporcionado otra capa de defensa que podría haber impedido a estos atacantes.

También es importante que las instituciones financieras apliquen tecnología avanzada contra la manipulación (consulte el blindaje de aplicaciones móviles con protección en tiempo de ejecución a continuación) a cualquier aplicación de banca móvil. Esto reduce el riesgo de que los adversarios puedan alterar o aplicar ingeniería inversa al proceso de vinculación del dispositivo para replicar la iteración de un usuario legítimo de una aplicación de banca móvil en un dispositivo emulado.

Combatir el fraude digital sofisticado con análisis de riesgos del lado del cliente y del servidor

Gartner ha sugerido un marco de detección de fraude en línea que consta de cinco capas de prevención - centrado en el punto final, centrado en la navegación y la red, centrado en el usuario y la entidad, centrado en el usuario y la entidad de varios canales, y análisis de usuarios y entidades de big data, para detectar el fraude en línea. Debido a que los estafadores utilizaron un emulador, pudieron superar ciertos aspectos de la primera capa de prevención. Vemos más y más ejemplos de estafadores sofisticados que pueden simular datos del lado del cliente, como el dispositivo, la ubicación y la hora del día.

Este incidente de fraude móvil y la creciente madurez de los anillos de fraude en línea en general, hablan de la necesidad de una solución de prevención de fraude más completa con capas adicionales configuradas correctamente. En este momento, es mucho más difícil para los atacantes superar las capas de prevención posteriores:

  • Capa 1: centrado en el endpoint - Análisis del comportamiento de los puntos finales y las correlaciones de ubicación; esta capa también incluye detección de malware y huellas digitales del dispositivo
  • Capa 2: centrado en la navegación y la red - Análisis del comportamiento de sesión, red y navegación y patrones sospechosos
  • Capa 3: centrada en el usuario y la entidad (canal único) - Análisis del comportamiento del usuario / entidad por canal (por ejemplo, banca en línea, banca móvil, etc.)
  • Capa 4: Centrado en el usuario y la entidad en todos los canales y productos - Análisis del comportamiento de anomalías correlacionado entre canales
  • Capa 5: Vinculación de entidades y usuarios de Big Data - Análisis de relaciones para detectar delincuencia organizada y colusión

Como habrá adivinado, recopilar y correlacionar las señales de riesgo en estas áreas se vuelve casi imposible "a la velocidad de los humanos". Cualquier sistema completo de detección de fraudes en línea necesita aprovechar el aprendizaje automático del lado del servidor y las reglas automatizadas contextuales para tener algún impacto aquí.

Detección de interacciones no humanas automatizadas

La granja de emulación malvada simuló los dispositivos de las víctimas, lo que pone en riesgo a cualquier banco que se base únicamente en identificar / confiar en dispositivos móviles mediante una identificación o con un código de un solo uso enviado por SMS. Si las aplicaciones bancarias específicas hubieran habilitado el análisis de sesiones junto con el comportamiento del punto final y las correlaciones de ubicación, el dispositivo podría identificarse como emulado debido a la falta de comportamiento de interacción "similar al humano" (es decir, la forma en que un humano interactúa con un dispositivo, como la cadencia de escritura , ángulo, altura y muchos otros rasgos de comportamiento).

Cómo y cuándo un usuario interactúa con una sesión puede proporcionar información sobre su comportamiento habitual de sesión. Esta es una capa de prevención adicional que puede dificultar el trabajo de un atacante, ya que el emulador automatizado necesitaría imitar constantemente la velocidad de interacción de la víctima humana y más.

Monitoreo más que el evento de inicio de sesión: monitoreo continuo de sesiones

A medida que avanzamos hacia las capas 3 y 4, es importante tener en cuenta la actividad de la sesión bancaria más allá del inicio de sesión inicial. En última instancia, un atacante no pagará las facturas de un usuario por ellos, su objetivo es extraer fondos. Por lo tanto, es crucial que los bancos apliquen un monitoreo continuo para revisar nuevos dispositivos, beneficiarios y transacciones. El propósito de esta revisión es identificar si los dispositivos, beneficiarios o transacciones son nuevos y / o conocidos por (es decir, utilizados por) cualquier otro consumidor o cliente comercial de un banco.

Automatización de la detección / prevención de fraudes con el poder del aprendizaje automático

Comprender la analítica en torno a la actividad típica de todos los usuarios y dispositivos puede ayudar a identificar la activación masiva de dispositivos, la creación masiva de beneficiarios y las transacciones masivas, todas señales de un ataque escalado. En este caso, la retrospectiva sugiere que el banco podría haber sido alertado sobre cualquiera de las muchas etapas del ataque. Estos incluyen a los atacantes que activan numerosos dispositivos nuevos, emulan dispositivos, crean nuevos beneficiarios, transfieren grandes cantidades, agotan el saldo de las cuentas y envían dinero a cuentas previamente desconocidas.

Dichos indicadores, así como miles más, se pueden proporcionar a modelos de aprendizaje automático, que pueden operar en un espacio altamente dimensional que supera con creces al de un humano, y pueden proporcionar una predicción (puntuación de anomalía / riesgo) en tiempo real. . Por lo tanto, permitir que un banco detenga el ataque en su camino evitando su propagación y permitiendo una reacción automatizada.

Combatir emuladores y otras amenazas móviles con protección de aplicaciones, incluida la protección en tiempo de ejecución

Si bien los detalles de cómo los atacantes identificaron las debilidades en las aplicaciones móviles y los sistemas de detección de fraude de los bancos víctimas, es lógico que hayan podido aplicar ingeniería inversa a ciertos aspectos de la aplicación móvil. Es probable que los atacantes simplemente descargaran las aplicaciones legítimas de las tiendas de aplicaciones oficiales y comenzaran a presionar y presionar las aplicaciones en un emulador para examinar la aplicación mientras se ejecutaba.

El blindaje de aplicaciones móviles con protección en tiempo de ejecución habría detectado dicha actividad y habría cerrado rápidamente la aplicación para evitar esta actividad maliciosa. El blindaje avanzado de aplicaciones móviles no solo evita que una aplicación se ejecute en un emulador, sino que también detecta y bloquea varias herramientas utilizadas por los adversarios para realizar ingeniería inversa en la aplicación y comprender su funcionamiento.

Con la sofisticación de esta amenaza, no es descabellado suponer que los atacantes pudieron aplicar ingeniería inversa a la aplicación para comprender cómo estaba vinculada al dispositivo de un usuario (si es que lo hizo) y cómo se comunicaba con las API del lado del servidor del banco. El blindaje de aplicaciones móviles con protección en tiempo de ejecución habría agregado otra capa de control de seguridad que habría hecho que el trabajo del estafador fuera mucho más lento y costoso.

Además de la mitigación de ingeniería inversa, el blindaje de aplicaciones con protección en tiempo de ejecución ofrece varias capacidades que hacen que sea más difícil para los atacantes llevar a cabo un ataque en aplicaciones y usuarios de banca móvil:

  • Evitar la suplantación de identidad de la aplicación mediante la detección de reempaquetado de la aplicación (es decir, modificar y volver a publicar una aplicación de forma maliciosa)
  • Identificar la modificación de código y / o la inyección de bibliotecas de tiempo de ejecución maliciosas en una aplicación
  • Reducir el riesgo de fuga de datos deteniendo capturas de pantalla y teclados maliciosos
  • Detectar la escalada de privilegios mediante el reconocimiento de dispositivos con jailbreak o rooteados
  • Mitigar los ataques de superposición de IU al evitar la anulación de primer plano en dispositivos Android

Resumen

Al final, para proteger a sus clientes e instituciones de la continua evolución e innovaciones de los adversarios, las instituciones financieras deben adoptar un enfoque en capas para el fraude bancario en línea que consiste en una sólida autenticación del cliente, análisis de riesgos del lado del servidor y seguridad avanzada de aplicaciones móviles, incluido el blindaje de aplicaciones móviles. con protección de tiempo de ejecución.

Sam es Director de Marketing de Producto responsable de la cartera de seguridad de aplicaciones móviles de OneSpan y tiene casi 10 años de experiencia en seguridad de la información.