* [ Fraude Online : Abierto 24 h.]

Dani Creus Mikel Gastesi

* [ Persona(je)s ]

Autores:Dani Creus / Mikel Gastesi

Editores:[S21sec ] + [i64][S21sec ] + [i64]

Gracias a :Chema AlonsoDavid Barroso

Asegura IT Camp III - 2011

* [ Sobre qué… ]

Fraude != e-crimee-crime != Fraudee-crime != FraudeFraude bancario

Asegura IT Camp III - 2011

FRAUDE

* [ El libro … ]

• Visión global del fraude on-line.• Objetivos…Un PC, ¡qué jugoso!• Organización del ecosistema.• Underground.• Underground.• Malware orientado a fraude.• DEMO TIME!•Ejemplo real

Asegura IT Camp III - 2011

* [ Visión global… ]

AseguraIT Camp III 2011

* [ Objetivo : PC ]

* [ Objetivo : PC ]

2011Windows

7

Windows

Vista

Windows

2003

Windows

XPLinux Mac Móviles

Septiembre 42.2% 5.6% 0.8% 36.2% 5.1% 8.6% 0.9%

Agosto 40.4% 5.9% 0.8% 38.0% 5.2% 8.2% 0.9%

AseguraIT Camp III 2011

Julio 39.1% 6.3% 0.9% 39.1% 5.3% 7.8% 1.0%

Junio 37.8% 6.7% 0.9% 39.7% 5.2% 8.1% 0.9%

Mayo 36.5% 7.1% 0.9% 40.7% 5.1% 8.3% 0.8%

Abril 35.9% 7.6% 0.9% 40.9% 5.1% 8.3% 0.8%

* [ Objetivo : Smartphones ]

* [ Ecosistema : Infraestructuras]

AseguraIT Camp III 2011

•Botnets: •Supervivencia = Ocultación o Fortificación del C&C

•Bullet Proof Hosting•Arquitecturas de red que oculten el C&C

* [ Ecosistema : Infraestructuras]

Fast-flux

AseguraIT Camp III 2011

* [ Ecosistema : Infraestructuras]Doble Fast-flux

AseguraIT Camp III 2011

* [ Ecosistema : Infraestructuras]

•Bloquear IPs•Descargas de un solo uso•Protocolos de comunicación propios•Detección AV

AseguraIT Camp III 2011

Tricks, tricks tricks

•Detección AV•Falsear hash

•Demo!•…

* [ Ecosistema : Distribución]

AseguraIT Camp III 2011

* [ Ecosistema : Distribución]

AseguraIT Camp III 2011

* [ Ecosistema : Distribución]

AseguraIT Camp III 2011

* [ Ecosistema : Infección]

AseguraIT Camp III 2011

* [ Ecosistema : Infección]

AseguraIT Camp III 2011

* [ Ecosistema: “Humanos” ]

Especialización

Sofisticación

AseguraIT Camp III 2011

Diversificación

* [ Ecosistema: Roles]

Técnico

Exploit Kits

StealersDevelopers

Soporte

Dealers

Others

…

AseguraIT Camp III 2011

GestiónComercial

Cashiers

Drops

Mules

BossesLeaders…

* [ Fraud Underground]

Definición.Esquemas.Mercado.Comunidades.

AseguraIT Camp III 2011

Comunidades.

Monetización.

CARDING.

* [ Esquemas]

• Spam.• Mundos virtuales• Póker & Casinos.

AseguraIT Camp III 2011

• Póker & Casinos.• Publicidad.

• Otros…

* [ Esquemas : SPAM]

AseguraIT Camp III 2011

Source : m86security

* [ Esquemas : MMORPG]

AseguraIT Camp III 2011

* [ Esquemas : MMORPG]

AseguraIT Camp III 2011

* [ Esquemas : Poker, etc…]

AseguraIT Camp III 2011

* [ Esquemas : Publicidad ]

AseguraIT Camp III 2011

* [ Esquemas : Otros… ]

AseguraIT Camp III 2011

* [ Fraud Underground : Mercado ]

AseguraIT Camp III 2011

* [ Mercados…]

AseguraIT Camp III 2011

* [ Mercados….]

RDP

SPAM

AseguraIT Camp III 2011

Socks

VPN

RDP

* [Mercado…]

AseguraIT Camp III 2011

20.000 BOTS

* [ Mercados…]

AseguraIT Camp III 2011

* [ Underground : Mercado]

AseguraIT Camp III 2011

* [ Mercados… ]

AseguraIT Camp III 2011

* [ Mercados… ]

Censored

Cen

sore

d

AseguraIT Camp III 2011

Censored

Cen

sore

d

* [ Mercados… ]

AseguraIT Camp III 2011

The only limit is your imagination! Originals designs can be designed from any country worldwide, and in any language of your

choice... from Scuba instructor, Warranty, Security, Massage Therapist, Auto Mechanic Instructor, Business License, Award, Real

Estate, Degree and Diploma Certificates. Various Degrees, Ordained Minister, Royalty Titles, Kung Fu Master, Club Member,

Library, Student, Identity, Insurance, Permit, Scuba Diver, International Driver, Frequent Flyer, Novelty Id Cards, Fake Driver

License, Driver Permits, Security Social Card, Ski Lift Card, New Identity, Membership cards, CIA, DEA, FBI, Private Detective,

Bondsman, Bounty Hunter, Casino, Press, Access Cards and much more...or virtually any kind of product you desire.

* [ Mercados… ]

AseguraIT Camp III 2011

* [ Underground : Formación]

AseguraIT Camp III 2011

* [ Underground : Formación]

AseguraIT Camp III 2011

* [Underground : Comunidades]* [Underground : Comunidades]

AseguraIT Camp III 2011

* [ Underground : Comunidades]

AseguraIT Camp III 2011

* [ Underground : Comunidades]

AseguraIT Camp III 2011

* [ Underground : Historia ]

AseguraIT Camp III 2011

* [ Underground : Historia]

AseguraIT Camp III 2011

* [ Underground : Movidas ]

AseguraIT Camp III 2011

* [CARDING ]* [CARDING ]

AseguraIT Camp III 2011

* [Carding]El arte de manipular/usar/robar * bancarias

Virtual Carding VS Real Carding…

AseguraIT Camp III 2011

CID/CVV2/CVC2/Manual CID

V/MC/AMEX : CVV1/CVC1/CID

* [Carding]DUMPZ / DUMPS / TRACKS

AseguraIT Camp III 2011

* [Carding]Skimmers (I)

AseguraIT Camp III 2011

* [Carding]Skimmers (III)

AseguraIT Camp III 2011

* [Carding]Skimmers (III)

AseguraIT Camp III 2011

..15 segundos

* [Carding]Menos sofisticados…

AseguraIT Camp III 2011

* [Carding]Aún menos…

AseguraIT Camp III 2011

* [Carding]¿Y después… ?

AseguraIT Camp III 2011

* [Carding]EMV (Chip and PIN)

AseguraIT Camp III 2011

* [Monetización]

Compra-ventas SubastasDrops

Servicios legítimos Muleros

AseguraIT Camp III 2011

In-store carding

virtual carding

* [ Troyanos bancarios ] …BankpatchSilentBankerSinowalSinowalCarberpSpyEyeZeuS / Zbot…

AseguraIT Camp III 2011

* [ Autenticación ]

Virtual keyboard

Code cardPasswordID +

OTP Token

SMS : mTAN

PasswordID +2FA

AseguraIT Camp III 2011

* [ Malware vs Autenticación ]

Virtual keyboard

Code cardPasswordID +

CAPTURAS DE PANTALLA

PHISHINGKEYLOGGING

PHARMING

OTP Token

SMS : mTAN

PasswordID +MITB

INYECCIÓN DE CÓDIGO

FORM GRABBING

AseguraIT Camp III 2011

Tarjeta de coordenadas* [Robo de credenciales: 2FA ]

pharming, phishing, inyección…AseguraIT Camp III 2011

Token mTAN

* [Robo de credenciales : 2FA]

…MITB, infección del móvil

AseguraIT Camp III 2011

* [ Malware DEMO ]* [ Malware DEMO ]

AseguraIT Camp III 2011

* [ Evolución de ZeuS ]

•Filtrado del código fuente•Ice IX

•ZeuS “v2.3.2.0”•Ramnit

• Además•Murofet

•Murofet v2.0

AseguraIT Camp III 2011

* [ Preguntas ? ]

AseguraIT Camp III 2011

* [ Gracias!! ]dani.creus@s21sec.comdani.creus@s21sec.commgastesi@s21sec.com