El documento habla sobre el fraude en dispositivos móviles. Explica que los móviles se están convirtiendo en el centro de una sociedad hiperconectada y que esto los hace blanco de ataques maliciosos. Detalla varios vectores de ataque como malware, aplicaciones fraudulentas, ingeniería social, y robo de tokens de autenticación uno-tiempo. El documento también cubre los perjuicios que estos ataques pueden causar a usuarios, operadores, y terceros.
1. Fraude en Dispositivos Móviles
Curso Especialización Dispositivos Móviles
Facultad Informática, Universidad A Coruña
20, 21 y 22 junio 2012
Autor: Álvaro Del Hoyo
Mikel Gastesi
Fecha: 21 Junio 2012
3. // INDICE
*
1 2 3 4 5 6
Presentación Móviles en el Malware como Otros vectores Perjudicados Dudas y
S21sec punto de mira vector de de ataque y perjuicios preguntas
ataque
5. S21sec
Multinacional especializada en
servicios y tecnologías de seguridad.
Protección frente a todo tipo de
amenazas de ciberseguridad:
Gestión Integral
de la Seguridad
Una prevención y
12 años solución ante incidentes
en el ámbito de la
seguridad. 24x7x365
6. Expansión e internacionalización
Trabajamos en
proyectos en 26
países de Europa,
Estados Unidos,
Latinoamérica y
Oriente Medio
Partnerships
comerciales
en distintos países
6 oficinas
internacionales
8 oficinas
en España
7. Sectores a los que llegamos
20% de las »
»
Administración pública.
Alimentación
compañías del índice
» Sanidad.
Dow Jones » Defensa.
» Educación.
Eurostoxx 50 » Infraestructuras críticas.
» Energía.
» Industria.
90% » Farmacéutico.
del sector financiero » Banca y finanzas.
» Seguros.
» Telcos e Internet.
26 de las 35 » Medios de comunicación.
compañías del IBEX » Entretenimiento.
» Turismo.
» Distribución y logística.
8. Un equipo especialista en seguridad
295 personas
Profesionales certificados
reconocidos a nivel
internacional.
100%
de nuestros profesionales
dedicados exclusivamente
a la seguridad.
9. Nuestros centros
Centros y laboratorios pioneros
especializados en ciberseguridad:
S21sec labs
S21sec CERT
S21sec intelligence center
S21sec university
10. 295 20%
ESPECIALISTAS en DE LAS COMPAÑÍAS
seguridad certificados DEL DOW JONES
y reconocidos EUROSTOXX 50 SON
internacionalmente CLIENTES DE
S21SEC RECONOCIDA por
ANALISTAS
INTERNACIONALES
Proyectos en como una de las
mejores empresas a
nivel internacional
26
PAISES
La
INNOVACIÓN
como motor de negocio
17. …, que pueden de forma ilícita ganar dinero…
• Llamadas/SMS • Robo y reventa
premium • Robo identidad
• SMS flooding • Proxies
• Robo OTP
bancos
Datos
Voz y personales
mensajes y de
negocio
Acceso
Todo en
móvil
uno
Internet
• Botnets • Spam
• Click fraud
• Black Hat SEO
• DDOS
• Pay per view
46. Vishing
• Definición: Engaño mediante una llamada telefónica
– Tanto automatizado como manual
• ¡Más viejo que la pana!
Pura ingeniería social
-Confiamos en las personas
-No desconfiamos de amenazas
que no conocemos
-Pueden tener información nuestra
• Sí, pero…. ¡Funciona! - Internet
-No te fíes ni de tus vecinos!
48. Botnets
• ¿Tendencia? Similar a los PCs
• Pros: Al igual que en los PCs, el
– Siempre encendido objetivo es tener el dispositivo
– Siempre conectado controlado
• Objetivos:
– DDoS
– Información / punto de entrada
– PPI ?
– Envío de SMS Premium, etc
50. Vectores de infección
• Infección de aplicación maliciosa
– Se engaña al usuario para que la instale
Todavía no hemos visto infección mediante drive-by,
pero ya hay pruebas de concepto.
• Infección mediante aplicación legítima reempaquetada.
– Markets alternativos y descargas desde sitios no confiables.
En muchos casos, ¡por agarrados!
– Control en los markets, etc, quedan fuera del ámbito de la charla de
hoy ;)
51. Vectores de infección (II)
• SMS malformados?
– Las gestiona el sistema operativo
– Tenemos aplicaciones de terceros
• Bluetooth
– Ingeniería social para infección
– Espionaje
• 1234 o 0000, ¿cuál eliges?
• Códigos QR
– Superponer pegatinas
– ¡Es como sacar el buen vino buen precio!
• NFC
– ¿Quién querría poner un link? “Jesús Gonzalez”
– El problema puede ser la implementación
• Por ejemplo, abrir URL directamente
52. Jugando con NFC
• Hackit ergo sum 2012, Abril 2012
– “Hacking the NFC credit cards for fun and debit ;)”, Renaud Lifchitz
– http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-
2012-rlifchitz-contactless-payments-insecurity.pdf
– http://code.google.com/p/readnfccc/
• Reads NFC credit card personal data (gender, first name, last
name, PAN, expiration date, transaction history...)
53. Números Premium
• Envío silencioso de SMS a números Premium
• Llamadas a números Premium
56. Advertising
• Cobras por cada clic en tus banners de publicidad
• ¿Incluso por número de visitas?
– Entonces, que abran y hagan clic en tu página, ¿no?
• Ejemplo – Flashback:
• …aplica a los móviles del mismo modo
65. El 2º factor de autenticación (y III)
• Componente móvil para los troyanos bancarios
• Reenvío SMS POST a un servidor Web
¡Perdamos el miedo a destripar un .apk!
66. El 2º facto de autenticación
• Batallitas
– Bombardea su móvil
– Espiar al que robas, viaja?
– Clonado se SIM
68. Dudoso uso de la terminología
…marketing? …buzz? …FUD?
FUD:
– Zeus for mobile Fear, Uncertainty and
– SpyEye for android Doubt (miedo,
– Citadel for mobile incertidumbre y duda)
– Zitmo ¿?
– Spitmo ¿?
– Drive-by download ¿?:
– ATS?