Si bien es cierto que los números
que mostraban el crecimiento de la amenaza de malware en dispositivos Android
fue uno de los temas más relevantes (más de 400% en el último año), personalmente
captó mi atención una tendencia que los expertos han denominado “Fraude-como-servicio”,
o “Fraud-as-a-Service” por sus siglas FaaS.
La práctica cibercriminal de
operar Troyanos y “Botnets” tiene una larga historia en la Internet, y con un
impacto mayor desde la liberación del primer troyano dirigido a bancos, Zeus,
en el 2007. Desde entonces ha habido una tendencia de los creadores de
herramientas para realizar crimen electrónico de monetizar su código. El 77% de
los ataques de malware son ejecutados con troyanos, y los Servicios Financieros
acaparan el 69% de los ataques.
Actualmente, foros “underground”
están explotando la oferta de código malicioso, servicios de hacking, y hosting
a prueba de desmontajes, para organizar fraude a grandes escalas. Los cyber
criminales están vendiendo kits para cometer fraudes, o alquilando botnets,
muchas veces completando la oferta con listados de datos a utilizar durante los
ataques.
Ofertas típicas de Fraud-as-a-Service
incluyen Troyanos como Zeus, SpyEye, ICE IX, o Citadel, por unos pocos cientos
de dólares. Ofertas completas alcanzan varios miles de dólares. Las ofertas
vienen en forma de combos con opciones de servicios de set-up, hosting a prueba
de balas, ayuda en el uso del malware, etc.
En el pasado las opciones de
Fraud-as-a-Service permanecían en un círculo oculto de cyber criminales en
mercados negros, pero ahora se publicitan en las redes sociales.
Popularización de la amenaza
Los investigadores de RSA han
descubierto una oferta de FaaS con Zeus mercadeándose a través de una red
social muy popular. La oferta consiste en un botnet personalizable a través de
una consola de configuración “control panel for dummies”. Los desarrolladores
crearon un sitio de venta en línea del malware, y abrieron una página en
Facebook con información actualizada sobre su crimen electrónico, botnets, y su
producto.
Anteriormente los criminales electrónicos requerían de conocimiento para llevar a cabo ataques, pero ahora con los ofrecimientos de FaaS, casi cualquiera con intenciones criminales pudiera planificar el robo de credenciales de usuarios de servicios financieros y ejecutando fraude en línea con las mismas.
Y no sólo para fraude
Otros servicios criminales están ofreciéndose a través de las redes sociales, no necesariamente dirigidos a la ejecución de fraudes. Por ejemplo, los ataques de negación de servicio, o DoS por las siglas de “Denial-of-Service”, encuentran facilitadores que ofrecen sus servicios por unos pocos dólares la hora.
Esta forma de ataques es perpetrada en muchos casos por los llamados “hacktivistas”, quienes intentan perjudicar a los negocios que consideran enemigos.
Perspectivas
El crimen electrónico es un fenómeno global, y los cyber criminales se esconden detrás de leyes laxas y de gobiernos que no los castigan. Sin embargo, a través de la cooperación internacional se ha logrado en el pasado el arresto de numerosos grupos que ha conducido a los defraudadores a mantener bajos perfiles. Estos mismos son los que actúan ahora detrás de estos ofrecimientos FaaS, para que sean otros los que ejecuten la acción criminal.
Al ser la banca el principal blanco de ataques, dado que la monetización de los mismos es más tangible, es importante prepararse ante el incremento de las fuentes y variantes que prometen extender la amenaza.
TODO1, como socio estratégico en canales emergentes de las instituciones financieras líderes en la región, brinda actualmente una serie de servicios de seguridad informática que permiten a la banca reducir el fraude y el impacto de posibles ataques. Para mayor información consulte http://www.todo1services.com/security.htm
Victor
Betancourt
Director
Comercial
TODO1
- Centroamérica y Caribe
Email: vbetancourt@TODO1.com
