Inicio Noticias Troyano afecta a la Banca Chilena pidiendo todas las coordenadas de tus...

Troyano afecta a la Banca Chilena pidiendo todas las coordenadas de tus tarjetas

Compartir

TROYANO BANCARIO

Ataques de troyanos siguen afectando a la banca chilena, principalmente a los bancos que utilizan tarjeta de coordenadas pero ataques más avanzados también afectan a los dispositivos que entregan una OTP (One Time Password)
Recuerda que tu banco NUNCA te pedirá todas las coordenadas de tu tarjeta, si por algun motivo esto te ocurre, con seguridad te encuentras siendo víctima de un fraude.
Lo que hace que este troyano (o malware) sea mas difícil de identificar que los típicos phishing, es que se ejecuta cuando el cliente infectado ingresa a la web de su banco. Esto no es un problema de seguridad en la web o sistemas del banco, sino un archivo infectado que esta ubicado en el computador del cliente. Este troyano tiene la lógica suficiente para identificar que se encuentra en un sitio web de un banco que utiliza tarjeta de coordenadas y entonces levanta una ventana con un “aviso de seguridad” solicitando realizar una “verificacion del sistema” donde solicitan todas las coordenadas de la tarjeta.
Se nota que este troyano ha sido realizado por expertos, ya que toma el diseño y datos de la web donde se ejecuta, confundiendo asi más a los clientes.

 este troyano ha sido realizado por expertos, ya que toma el diseño y datos de la web donde se ejecuta, confundiendo asi más a los clientes.

TROYANO BANCARIOEn la  imagen de la izquierda, podemos ver el ejemplo de como se vería el troyano ejecutandose en la web de un banco, solicitando datos al cliente. Si el cliente ingresa los datos de su tarjeta, ya comprometió su cuenta bancaria: el troyano obtuvo el rut y clave de acceso del cliente al momento de ingresar al sitio y la tarjeta de coordenadas fue ingresada por el cliente.

Este troyano tiene por nombre “Win32/SpyEyes“, lo cual genera en los computadores infectados el siguiente archivo “c:/cleansweep.execleansweep.exe” y crea la siguiente informacion en el registro de windows:

  • Clave: ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run’
  • Valor: cleansweep.exe = “C:\cleansweep.exe\cleansweep.exe”‘

También aparece información de este troyano bajo el nombre “Trojan.W32/Llac.CIQ”. Pueden encontrar mas informacion sobre el troyano en este link: http://cert.inteco.es/virusDetail/Actualidad/Actualidad_Virus/Detalle_Virus/Spyeye.

troyano banco estadoEn la imagen de la izquierda podemos ver el mismo troyano actuando en la web del Banco Estado, como pueden apreciar se ejecuta de la misma manera que en el caso anterior. Incluso el mensaje es el mismo, “Banco XXX siempre trata de encontrar sus expectativas más altas. por eso siempre usamos la ultima tecnología de seguridad para nuestros clientes. Por lo tanto nuestro Departamento de Antifraude ha desarrollado un nuevo sistema de seguridad que elimine cualquier posibilidad del acceso de la tercera persona a sus datos, cuentas y fondos…” un párrafo bastante poco creible y mal redactado para un banco si lo analizan bien.

Los bancos han reaccionado rápidamente enviando comunicados a sus clientes y mostrando avisos de seguridad en sus sitios web, con recomendaciones como “nunca entregas tus datos personales, claves de acceso ni coordenadas de las tarjetas o tokens, nunca sigas links, etc.“, esto ya que la forma más efectiva de prevención es tener a los clienes informados. Sin embargo, muchos clientes no leen estos avisos y tienen “ceguera” a los banners donde el banco trata de informar a sus clientes de los riesgos.

AVISOS SEGURIDADAquí podemos ver un ejemplo del comunicado de seguridad del Banco Corpbanca, poniendo un ejemplo de un phishing. Las recomendaciones a seguir en caso de un troyano son practicamente las mismas.

Muchos clientes no ven estos avisos de seguridad. En este sentido, encontramos destacable la accion que realizó el Banco Security, quienes viendo el comportamiento del troyano (que escribe codigo html y javascript web al final de la pagina donde se ejecuta) logró realizar modificaciones en sus paginas web de modo de anular la accion de este malware, reemplazando la zona donde al cliente le piden todas sus coordenadas por un aviso de seguridad, donde le informa que está infectado con un virus que esta tratando de capturar sus claves, le recomienda no seguir operando en ese computador y lo invita a comunicarse directamente con servicio al cliente para más información.

Ésta es una forma eficiente de prevenir la accion del troyano y además alertar oportunamente al cliente, para que tome medidas preventivas y no post-fraude que es lo que está pasando en el resto de los casos de la banca chilena.

AVISO SEGURIDAD BANCO SECURITYUn comportamiento que se repite en varios usuarios infectados por el virus es que tienen problemas con el uso de acentos, en lugar de colocar los acentos normales (á é í ó ú), estos son reemplazados por “´´a”, “´´e”,  “´´i “, “´´o” y “´´u” respectivamente. Si te ocurre esto, ejecuta un antivirus actualizado o un programa de eliminacion de SpyWare, para descartar cualquier riesgo.

A continuación les entregamos nuestras recomendaciones:

¿QUÉ HACER SI FUISTE VICTIMA DE ESTE FRAUDE?
Si ya ingresaste tus claves, te recomendamos lo siguiente:
  • Comunicate de inmediato con el fono de atención a clientes y pide el bloqueo de tu tarjeta de coordenadas. Si realizas esto lo suficientemente rápido el estafador no podrá operar con las claves que obtuvo.
  • Pide tambien el bloqueo de tu clave de acceso, incluso anda al sitio web del banco  y bloqueala tu mismo ingresandola mal 3 veces seguidas. Desbloqueala solo cuando sepas que no existe ningun riesgo.
  • Ejecuta un antivirus actualizado o un programa de eliminacion de SpyWare, que limpie este troyano de tu computador (por ejemplo AVG Internet Security es gratuito y detecta y limpia esta amenaza).
  • Si tienes sistema operativo Windows, actualiza todos los parches de seguridad.