deep learning fraud preventioncopayment.com.mx/wp-content/uploads/2018/10/pablo-de-la... · 2018....
TRANSCRIPT
DEEP LEARNING
FRAUD PREVENTION
EVOLUCIÓN DE LAS AMENAZAS ONLINE
Índice
1.-Fraudsters
2.-Amenazas
3.-Soluciones
Índice
1.- Los fraudsters1.1.- Tipos de bandas
Private
Professional
SpeciaistsLocal bands
ProfessionalAmateur
1.- Los fraudsters1.2.- Escuelas y afectación
LatAm
Brazil Russia
USA/EMEA APAC
China
1.- Los fraudsters1.3.- Organizaciones ciber-criminales
Content Infrastructure Distribution Operation Transaction
Malware Developers
Exploit Kits Developers
BulletproofHosting
Hackers & Crackers
Traffic Dealer
Spammer
Botnet Operator
Mules Manager
Carders
WebInjectsDeveloper
BackEndEngineers
FrontEndEngineers
SystemEngineers
DevOpsEngineers
Marketing Lead Generation
Marketing SEM/SEO
Accounting
HHRR
Finance
Sales
Fraudster
Director
TargetOrganizations
Customers
Black Market
Providers
ROL / ACTIVITY PRIZE
Contenido Malware actual + Crypter Services 1.200,00 $
Infraestructura Exploit Kit + BulletProof Hosting 300,00 $
Distribución Spam 300,00 $
Operación
Dynamic WebInjects 600,00 $
Mules Management 600,00 $
BANKING LOGIN + 1.000,00 $ *
AMERICAN VISA O
MASTERCARD ~ 135.00 $ ~ 12,00 $
AMERICAN EXPRESS
AMERICANA ~ 19,00 $
EUROPEAN VISA O
MASTERCARD ~ 28,00 $
EUROPEAN
AMERICAN EXPRESS ~ 40,00 $
APAC VISA O
MASTERCARD ~ 43,00 $
APAC AMERICAN
EXPRESS ~ 79,00 $
EMPLOYEES DATA 0,00 $ ~ 110,00 $ ~ 78,00 $
E-COMMERCE DATA ~ 50,00 $ 0,00 $ ~ 900,00 $
SOCIAL NETWORK
PROFILES 0,00 $ ~ 90,00 $ ~ 48,00 $
IDENTITY THEFT
DATA ~ 350,00 $
DRIVING LICENSE ~ 135,00 $
source: buguroo Labs, Kaspersky Labs yTrendMicro Labs
• ¿Cuánto cuesta lanzar una campaña de fraude?
• ¿Cuánto pagan por los datos que obtenga?
• Contar con los mejores researchers del mercado
negro, usar sus infraestructuras y que otros las
operen, cuesta: 3.000,00 $
1.- Los fraudsters1.4.- Black market
Cantidades Descripción
Inversión total 3.000,00 $ Coste de camapaña
BBDD de contactos 1.000.000 Base de datos de tamaño medio-bajo de calidad media-baja
Éxito de la campaña 0,001 % Porcentaje inferior al habitual en las campañas
Precio del dato vendido 12,00 $ El precio por dato más bajo del mercado negro
Ingresos estimados 12.000,00 $ Ganancias totales por la venta de los datos
250
445
575
750
980
1,150
1,510
2,100
0 500 1,000 1,500 2,000 2,500
2012
2013
2014
2015
2016
2017
2018
2019
source: Gartner, Forbes
1.- Los fraudsters1.5.- Negocio ciber criminal
Cantidad Riesgo ROI Periodo
Inversión inmobiliaria Elevada Moderado ~ 5 % Un año
Inversión en bolsa Moderada Alto ~ 10 % Un año
Inversión en start-ups Muy elevada Muy alto ~ 100 % Cinco años
Inversión en fraude Muy baja Muy bajo ~ 300 % Una semana
• Plan de negocio de una campaña
• Comparativa de inversión
Índice
1.-Fraudsters
2.-Amenazas
3.-Soluciones
Índice
2.- Las amenazas2.1.- La evolución de las amenazas bancarias
2002LEYENDA:
- Outline (Objetivo):
Usurpación de identidadManipulación del usuarioAmbas
- Fill (Medio):
Fake siteInfection
Cross-pharming
Phishing
2006
Trojan Banker(static)
2009
Exploit Kits(crime growth)
2007 2011
Mobile Trojans
BiometricTrojans
2016
RATTrojans
2018
ReelPhish
Self-XSS Trojans
EmployeesTrojans
Pharming
Vishing
Smishing
Trojan Banker(dynamic)
20142005
Mouse loggerKey logger
Fake Apps
2.- Las amenazas2.2.- Componentes de las amenazas basadas en fakes
Infection/Intrusion
Fake Site Hosting
Channel methods:
• Spam• Malvertaising• Traffic dealers• IM/SMS• Search Engines• Voice/VoIP Channel
Fake App
Amplification/Penetration techniques:
• DNS Poisoning• DNS Zone Transfer• Dynamic Routing Injection• Cybersquatting• Typosquating
Infection:
Fake Apps from unauthorized sourcesInfected Apps from original store
Hosting capabilities
• Fast-flux• Redirections
Content
• Phishing• ReelPhish• Man in the Middle
Internet
Host
Internet
Host
Dis
trib
uti
on
Ph
ase
Co
nte
nt
Ph
ase
Infr
aest
ruct
ure
Ph
ase
Infection:
• Host file manipulation• Router Access/explotation• ARP Spoofing
Amplification
2.- Las amenazas2.3.- Componentes de las amenazas basadas en infecciones
Trojan functionalities:
• Command execution• Spreading (via spam, exploits, etc)• Crypto mining• Browser process injection• Form grabbing• Screeshots• Video recording• Arbitrary browser code execution (MitB)• Redirections (MitM)• RAT (RitB)• Backdoor• Keylogging• Mouselogging• Self-XSS
Loader
Trojan
Dropzone Panel
Channel distribution:
• Spam• Malvertaising• Traffic dealers• IM/SMS• Search Engines Channel Infection
Loader functionalities:
• Bot function• Download and task execution• Updates & uninstallation• Debugging protection• TOR & DGA Support• VM Detection• Sandbox Detection• Packing
Infection:
- Link- Attachment
- Office- Acrobat- RAR/ZIP- MSI- PE
- Exploit Kit- Browser- Java- Flash
Panel functionalities
• C&C (C2)• Communications (IRC, P2P, DGA, Twitter,
TOR, etc.)• Configuration: static, dynamic, multiple• WebInjects & Mules• Obfuscation
Dropzone functionalities
• Storage• Data (users, passwords)• Configs (e-mail, RDP, etc).• Screenshots, pictures, videos.• Certificates.
Internet
Host
Internet
Host
Dis
trib
uti
on
Ph
ase
Co
nte
nt
Ph
ase
Infr
aest
ruct
ure
Ph
ase
2.- Las amenazas2.4.- Tendencias actuales
Employees Spear Phishing
• 0day exploits
• Lateral intrusion
• ATM/Crypto
Cross Channel Infections
• WebInjects
• Mobile Trojan Bankers
• ATSEngine
ReelPhish
• Phase 1: Steal credentials
• Phase 2: Credit Card
• Phase 3: SMS
New trend malware
• BackSwap
• Danabot
• Osiris
CryptoExchange Attacks
• Vulnerabilities exploitation
• Infections for cryptomining
Classic Threats
• WebInjects
• RATs
• Classic Phishing
Índice
1.-Fraudsters
2.-Amenazas
3.-Soluciones
Índice
3.- Las soluciones3.1.- Tipos de soluciones por amenaza
2002
Cross-pharming
Phishing
2006
Trojan Banker(static)
2009
Exploit Kits(crime growth)
2007 2011
Mobile Trojans
BiometricTrojans
2016
RATTrojans
2018
ReelPhish
Self-XSS Trojans
EmployeesTrojans
Pharming
Vishing
Smishing
Trojan Banker(dynamic)
20142005
Mouse loggerKey logger
AntifraudServices
First GenerationOFD Solutions
SecondGeneration OFD
Solutions
Mobile OFD
Next GenerationEndPoint
First GenerationBehavioralBiometrics
SecondGenerationBehavioralBiometrics
3rd OFD Gen + 2nd BB Gen
18
Que el usuario sea quien dice ser
Que el usuario no esté siendo manipulado
Something you
KNOW
Password, PIN
Security questions
Something you
HAVE
Smart card,
USB token, Phone
Something you
ARE
Iris, Face
Fingerprint
2nd factor 3rd factor
Ingeniería social
Spear phishing
Inyecciones
Falsificaciones
Accesos remotos
Autenticación
Transacción
3.- Soluciones3.2.- Vigilancia continua
19
Device 1 (atributos):
Device ID: 0x1465
Device Type: iPhone
OS: iOS 9
Security: Jailbroken
Browser: Safari Mobile
Cuenta 1 (atributos):
Name Hash: 0x5624
# of fields: 3
# of characters: 267
# scripts:3
# iframes: 3
Content- modified: Yes
Log 1: (atributos):
Source: Web Server
Type: Referer
IP: 194.179.1.100
URL: /path/
Identity 1 (atributos):
Keystroke Rythm: 145
Mouse elliptic curve: 314
Mouse Rhythm: 124
TimeTabs: 120 130
Blacklist(atributos):
Malicious IP
Tor node IP
C&C IP
Ubicación 1 (atributos):
IP: 194.179.1.100
ISP: Telefónica
ASN: 10040
Ciudad: Alcobendas
País: España
3.- Soluciones3.3.- Identificación digital
20
¡Muchas gracias!www.buguroo.com
Mauricio [email protected]
BogotáLatAm Sales Director
Juan David Castañ[email protected]
BogotáPresales & Product Engineer
Slim [email protected]
Ciudad de MéxicoBusiness Developer
Pablo de la Riva [email protected]
MadridCEO
Elizabet [email protected]
Ciudad de MéxicoSolution Sales Banking
Rossana [email protected]
Ciudad de MéxicoTerritory Sales Manager