Telefónica del PerúSegmento Empresas

Casos reales Security Operation Center

SEGURIDAD DE LA INFORMACIONPHISHING

Telefónica del PerúSegmento Empresas 2

ÍndiceIntroducción:

- Fraud Modus Operandi

Detección:- Malware- Pharming- Phishing

Análisis casos reales:- Caso Phishing - Caso Actualización de Datos.- Caso de Malware con Pharming

Dispositivos Móviles:-Caso de iPhone

- Conclusiones:

01

02

03

04

05

Telefónica del PerúSegmento Empresas 3

Introducción

01

Telefónica del PerúSegmento Empresas 4

Fraud Modus Operandi:

Telefónica del PerúSegmento Empresas 5

Detección de Fraude

Telefónica del PerúSegmento Empresas 6

Detección:•Malware•Pharming•Phishing

02

Telefónica del PerúSegmento Empresas 7

Detección de Malware:Las bandas del fraude automatizan cada

vez más sus procesos de propagación:

•Una de las piezas clave son los troyanos bancarios. Actualmente, su principal forma de propagación es el envío de correos con una url.

•Esta url contiene el binario para que el usuario lo ejecute o bien un exploit de navegador, con el cual se ejecutaría él solo.

•El principal sistema de detección deberá recibir estos emails o bien escanear en busca de estas URLs

• Instalación de sensores como Honeypots

• Centralización del malware obtenido.

• HoneyNet Project

Proceso de Detección:

Telefónica del PerúSegmento Empresas 8

Detección de Pharming: Existen 02 tipos de Pharming:• El cambio en el archivo

“/etc/hosts”, que lo consideramos como malware ya que requiere ejecución en la máquina de la víctima.

• La inyección de registros en servidores DNS muy utilizados. Las víctimas quedan redireccionadas sin necesidad de realizar una intrusión o infección en su máquina.

• Detección de pharming consiste en monitorización de servidores DNS.

• Implementación de un monitorizador DNS.

•

Proceso de Detección:

Telefónica del PerúSegmento Empresas 9

Análisis de Casos:

03

Telefónica del PerúSegmento Empresas 10

Caso 1 : Phishing Bancario

Utilizaron un servidor web de un Ministerio local, para alojar la página Web de un Banco Inglés.

EnglishBank

EnglishBank

EnglishBank

EnglishBank

Telefónica del PerúSegmento Empresas 11

Caso 2 : Actualizar datos en tu Banco

Malware: Modulo-Brasilak.scr De: http://www.yeojin.com

Recepción a hotmail y el URL contiene Malware: http://cli.gs/https:wwwss.brasilbank.com.br.scripts.ib0k1.dll.Modulo-Brasilbank

Realmente Ocurre:(Robo Credenciales)

Los Datos ingresados están siendo redireccionados a otro site.

brasilbank

brasilbank

brasilbank

Telefónica del PerúSegmento Empresas 12

Caso 3 : Phishing con Pharming

Bajar el Malware y Ejecutarlo

Youtube para el Usuario

Realmente Ocurre:

“Has recibido una invitación postal de Rocío”, luego ingresas al URL, “Confiable”, la cual contiene el Malware:

http://dowload-postal.com/postales.com/view/update.ver_postal.postales.com.exe

No se estádireccionando

Telefónica del PerúSegmento Empresas 13

Dispositivos Móviles

04

Telefónica del PerúSegmento Empresas 14

Caso 4 : iPhone:

Gusano iKee aprovecha las contraseñas por default en “SSHD”, desarrollado por un joven Australiano.

Version Unix/Darwing

Scanning SSHD

Utiliza credenciales default y podria

instalar

Telefónica del PerúSegmento Empresas 15

Conclusiones

05

Telefónica del PerúSegmento Empresas 16

Customer Portal

Fraudcasting

Analytics Engine

Global Site Shutdown & Dilution™

Fraud Broadcasting Network

Browser PartnersISP/Email Blocking Partners

Data Feeds

Honeypots

Medidas de control

Detección

Reacción

24/7 SOC Peru