deep learning fraud preventioncopayment.com.mx/wp-content/uploads/2018/10/pablo-de-la... · 2018....

DEEP LEARNING

FRAUD PREVENTION

EVOLUCIÓN DE LAS AMENAZAS ONLINE

Índice

1.-Fraudsters

2.-Amenazas

3.-Soluciones

Índice

1.- Los fraudsters1.1.- Tipos de bandas

Private

Professional

SpeciaistsLocal bands

ProfessionalAmateur

1.- Los fraudsters1.2.- Escuelas y afectación

LatAm

Brazil Russia

USA/EMEA APAC

China

1.- Los fraudsters1.3.- Organizaciones ciber-criminales

Content Infrastructure Distribution Operation Transaction

Malware Developers

Exploit Kits Developers

BulletproofHosting

Hackers & Crackers

Traffic Dealer

Spammer

Botnet Operator

Mules Manager

Carders

WebInjectsDeveloper

BackEndEngineers

FrontEndEngineers

SystemEngineers

DevOpsEngineers

Marketing Lead Generation

Marketing SEM/SEO

Accounting

HHRR

Finance

Sales

Fraudster

Director

TargetOrganizations

Customers

Black Market

Providers

ROL / ACTIVITY PRIZE

Contenido Malware actual + Crypter Services 1.200,00 $

Infraestructura Exploit Kit + BulletProof Hosting 300,00 $

Distribución Spam 300,00 $

Operación

Dynamic WebInjects 600,00 $

Mules Management 600,00 $

BANKING LOGIN + 1.000,00 $ *

AMERICAN VISA O

MASTERCARD ~ 135.00 $ ~ 12,00 $

AMERICAN EXPRESS

AMERICANA ~ 19,00 $

EUROPEAN VISA O

MASTERCARD ~ 28,00 $

EUROPEAN

AMERICAN EXPRESS ~ 40,00 $

APAC VISA O

MASTERCARD ~ 43,00 $

APAC AMERICAN

EXPRESS ~ 79,00 $

EMPLOYEES DATA 0,00 $ ~ 110,00 $ ~ 78,00 $

E-COMMERCE DATA ~ 50,00 $ 0,00 $ ~ 900,00 $

SOCIAL NETWORK

PROFILES 0,00 $ ~ 90,00 $ ~ 48,00 $

IDENTITY THEFT

DATA ~ 350,00 $

DRIVING LICENSE ~ 135,00 $

source: buguroo Labs, Kaspersky Labs yTrendMicro Labs

• ¿Cuánto cuesta lanzar una campaña de fraude?

• ¿Cuánto pagan por los datos que obtenga?

• Contar con los mejores researchers del mercado

negro, usar sus infraestructuras y que otros las

operen, cuesta: 3.000,00 $

1.- Los fraudsters1.4.- Black market

Cantidades Descripción

Inversión total 3.000,00 $ Coste de camapaña

BBDD de contactos 1.000.000 Base de datos de tamaño medio-bajo de calidad media-baja

Éxito de la campaña 0,001 % Porcentaje inferior al habitual en las campañas

Precio del dato vendido 12,00 $ El precio por dato más bajo del mercado negro

Ingresos estimados 12.000,00 $ Ganancias totales por la venta de los datos

250

445

575

750

980

1,150

1,510

2,100

0 500 1,000 1,500 2,000 2,500

2012

2013

2014

2015

2016

2017

2018

2019

source: Gartner, Forbes

1.- Los fraudsters1.5.- Negocio ciber criminal

Cantidad Riesgo ROI Periodo

Inversión inmobiliaria Elevada Moderado ~ 5 % Un año

Inversión en bolsa Moderada Alto ~ 10 % Un año

Inversión en start-ups Muy elevada Muy alto ~ 100 % Cinco años

Inversión en fraude Muy baja Muy bajo ~ 300 % Una semana

• Plan de negocio de una campaña

• Comparativa de inversión

Índice

1.-Fraudsters

2.-Amenazas

3.-Soluciones

Índice

2.- Las amenazas2.1.- La evolución de las amenazas bancarias

2002LEYENDA:

- Outline (Objetivo):

Usurpación de identidadManipulación del usuarioAmbas

- Fill (Medio):

Fake siteInfection

Cross-pharming

Phishing

2006

Trojan Banker(static)

2009

Exploit Kits(crime growth)

2007 2011

Mobile Trojans

BiometricTrojans

2016

RATTrojans

2018

ReelPhish

Self-XSS Trojans

EmployeesTrojans

Pharming

Vishing

Smishing

Trojan Banker(dynamic)

20142005

Mouse loggerKey logger

Fake Apps

2.- Las amenazas2.2.- Componentes de las amenazas basadas en fakes

Infection/Intrusion

Fake Site Hosting

Channel methods:

• Spam• Malvertaising• Traffic dealers• IM/SMS• Search Engines• Voice/VoIP Channel

Fake App

Amplification/Penetration techniques:

• DNS Poisoning• DNS Zone Transfer• Dynamic Routing Injection• Cybersquatting• Typosquating

Infection:

Fake Apps from unauthorized sourcesInfected Apps from original store

Hosting capabilities

• Fast-flux• Redirections

Content

• Phishing• ReelPhish• Man in the Middle

Internet

Host

Internet

Host

Dis

trib

uti

on

Ph

ase

Co

nte

nt

Ph

ase

Infr

aest

ruct

ure

Ph

ase

Infection:

• Host file manipulation• Router Access/explotation• ARP Spoofing

Amplification

2.- Las amenazas2.3.- Componentes de las amenazas basadas en infecciones

Trojan functionalities:

• Command execution• Spreading (via spam, exploits, etc)• Crypto mining• Browser process injection• Form grabbing• Screeshots• Video recording• Arbitrary browser code execution (MitB)• Redirections (MitM)• RAT (RitB)• Backdoor• Keylogging• Mouselogging• Self-XSS

Loader

Trojan

Dropzone Panel

Channel distribution:

• Spam• Malvertaising• Traffic dealers• IM/SMS• Search Engines Channel Infection

Loader functionalities:

• Bot function• Download and task execution• Updates & uninstallation• Debugging protection• TOR & DGA Support• VM Detection• Sandbox Detection• Packing

Infection:

- Link- Attachment

- Office- Acrobat- RAR/ZIP- MSI- PE

- Exploit Kit- Browser- Java- Flash

Panel functionalities

• C&C (C2)• Communications (IRC, P2P, DGA, Twitter,

TOR, etc.)• Configuration: static, dynamic, multiple• WebInjects & Mules• Obfuscation

Dropzone functionalities

• Storage• Data (users, passwords)• Configs (e-mail, RDP, etc).• Screenshots, pictures, videos.• Certificates.

Internet

Host

Internet

Host

Dis

trib

uti

on

Ph

ase

Co

nte

nt

Ph

ase

Infr

aest

ruct

ure

Ph

ase

2.- Las amenazas2.4.- Tendencias actuales

Employees Spear Phishing

• 0day exploits

• Lateral intrusion

• ATM/Crypto

Cross Channel Infections

• WebInjects

• Mobile Trojan Bankers

• ATSEngine

ReelPhish

• Phase 1: Steal credentials

• Phase 2: Credit Card

• Phase 3: SMS

New trend malware

• BackSwap

• Danabot

• Osiris

CryptoExchange Attacks

• Vulnerabilities exploitation

• Infections for cryptomining

Classic Threats

• WebInjects

• RATs

• Classic Phishing

Índice

1.-Fraudsters

2.-Amenazas

3.-Soluciones

Índice

3.- Las soluciones3.1.- Tipos de soluciones por amenaza

2002

Cross-pharming

Phishing

2006

Trojan Banker(static)

2009

Exploit Kits(crime growth)

2007 2011

Mobile Trojans

BiometricTrojans

2016

RATTrojans

2018

ReelPhish

Self-XSS Trojans

EmployeesTrojans

Pharming

Vishing

Smishing

Trojan Banker(dynamic)

20142005

Mouse loggerKey logger

AntifraudServices

First GenerationOFD Solutions

SecondGeneration OFD

Solutions

Mobile OFD

Next GenerationEndPoint

First GenerationBehavioralBiometrics

SecondGenerationBehavioralBiometrics

3rd OFD Gen + 2nd BB Gen

18

Que el usuario sea quien dice ser

Que el usuario no esté siendo manipulado

Something you

KNOW

Password, PIN

Security questions

Something you

HAVE

Smart card,

USB token, Phone

Something you

ARE

Iris, Face

Fingerprint

2nd factor 3rd factor

Ingeniería social

Spear phishing

Inyecciones

Falsificaciones

Accesos remotos

Autenticación

Transacción

3.- Soluciones3.2.- Vigilancia continua

19

Device 1 (atributos):

Device ID: 0x1465

Device Type: iPhone

OS: iOS 9

Security: Jailbroken

Browser: Safari Mobile

Cuenta 1 (atributos):

Name Hash: 0x5624

# of fields: 3

# of characters: 267

# scripts:3

# iframes: 3

Content- modified: Yes

Log 1: (atributos):

Source: Web Server

Type: Referer

IP: 194.179.1.100

URL: /path/

Identity 1 (atributos):

Keystroke Rythm: 145

Mouse elliptic curve: 314

Mouse Rhythm: 124

TimeTabs: 120 130

Blacklist(atributos):

Malicious IP

Tor node IP

C&C IP

Ubicación 1 (atributos):

IP: 194.179.1.100

ISP: Telefónica

ASN: 10040

Ciudad: Alcobendas

País: España

3.- Soluciones3.3.- Identificación digital

20

¡Muchas gracias!www.buguroo.com

Mauricio Guijarromguijarro@buguroo.com

BogotáLatAm Sales Director

Juan David Castañedajdcastaneda@buguroo.com

BogotáPresales & Product Engineer

Slim Masmoudismasmoudi@buguroo.com

Ciudad de MéxicoBusiness Developer

Pablo de la Riva Ferrezuelopriva@buguroo.com

MadridCEO

Elizabet Armaselizabeth.armas@gi-de.com

Ciudad de MéxicoSolution Sales Banking

Rossana Morarmora@plusti.com

Ciudad de MéxicoTerritory Sales Manager