Troyano afecta a la Banca Chilena pidiendo todas las coordenadas de tus tarjetas

BANCA_LOGO.jpg

TROYANO BANCARIO

Ataques de troyanos siguen afectando a la banca chilena, principalmente a los bancos que utilizan tarjeta de coordenadas pero ataques más avanzados también afectan a los dispositivos que entregan una OTP (One Time Password)
Recuerda que tu banco NUNCA te pedirá todas las coordenadas de tu tarjeta, si por algun motivo esto te ocurre, con seguridad te encuentras siendo víctima de un fraude.
Lo que hace que este troyano (o malware) sea mas difícil de identificar que los típicos phishing, es que se ejecuta cuando el cliente infectado ingresa a la web de su banco. Esto no es un problema de seguridad en la web o sistemas del banco, sino un archivo infectado que esta ubicado en el computador del cliente. Este troyano tiene la lógica suficiente para identificar que se encuentra en un sitio web de un banco que utiliza tarjeta de coordenadas y entonces levanta una ventana con un “aviso de seguridad” solicitando realizar una “verificacion del sistema” donde solicitan todas las coordenadas de la tarjeta.
Se nota que este troyano ha sido realizado por expertos, ya que toma el diseño y datos de la web donde se ejecuta, confundiendo asi más a los clientes.

 este troyano ha sido realizado por expertos, ya que toma el diseño y datos de la web donde se ejecuta, confundiendo asi más a los clientes.

TROYANO BANCARIOEn la  imagen de la izquierda, podemos ver el ejemplo de como se vería el troyano ejecutandose en la web de un banco, solicitando datos al cliente. Si el cliente ingresa los datos de su tarjeta, ya comprometió su cuenta bancaria: el troyano obtuvo el rut y clave de acceso del cliente al momento de ingresar al sitio y la tarjeta de coordenadas fue ingresada por el cliente.

Este troyano tiene por nombre “Win32/SpyEyes“, lo cual genera en los computadores infectados el siguiente archivo “c:/cleansweep.execleansweep.exe” y crea la siguiente informacion en el registro de windows:

  • Clave: ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run’
  • Valor: cleansweep.exe = “C:\cleansweep.exe\cleansweep.exe”‘

También aparece información de este troyano bajo el nombre “Trojan.W32/Llac.CIQ”. Pueden encontrar mas informacion sobre el troyano en este link: http://cert.inteco.es/virusDetail/Actualidad/Actualidad_Virus/Detalle_Virus/Spyeye.

troyano banco estadoEn la imagen de la izquierda podemos ver el mismo troyano actuando en la web del Banco Estado, como pueden apreciar se ejecuta de la misma manera que en el caso anterior. Incluso el mensaje es el mismo, “Banco XXX siempre trata de encontrar sus expectativas más altas. por eso siempre usamos la ultima tecnología de seguridad para nuestros clientes. Por lo tanto nuestro Departamento de Antifraude ha desarrollado un nuevo sistema de seguridad que elimine cualquier posibilidad del acceso de la tercera persona a sus datos, cuentas y fondos…” un párrafo bastante poco creible y mal redactado para un banco si lo analizan bien.

Los bancos han reaccionado rápidamente enviando comunicados a sus clientes y mostrando avisos de seguridad en sus sitios web, con recomendaciones como “nunca entregas tus datos personales, claves de acceso ni coordenadas de las tarjetas o tokens, nunca sigas links, etc.“, esto ya que la forma más efectiva de prevención es tener a los clienes informados. Sin embargo, muchos clientes no leen estos avisos y tienen “ceguera” a los banners donde el banco trata de informar a sus clientes de los riesgos.

AVISOS SEGURIDADAquí podemos ver un ejemplo del comunicado de seguridad del Banco Corpbanca, poniendo un ejemplo de un phishing. Las recomendaciones a seguir en caso de un troyano son practicamente las mismas.

Muchos clientes no ven estos avisos de seguridad. En este sentido, encontramos destacable la accion que realizó el Banco Security, quienes viendo el comportamiento del troyano (que escribe codigo html y javascript web al final de la pagina donde se ejecuta) logró realizar modificaciones en sus paginas web de modo de anular la accion de este malware, reemplazando la zona donde al cliente le piden todas sus coordenadas por un aviso de seguridad, donde le informa que está infectado con un virus que esta tratando de capturar sus claves, le recomienda no seguir operando en ese computador y lo invita a comunicarse directamente con servicio al cliente para más información.

Ésta es una forma eficiente de prevenir la accion del troyano y además alertar oportunamente al cliente, para que tome medidas preventivas y no post-fraude que es lo que está pasando en el resto de los casos de la banca chilena.

AVISO SEGURIDAD BANCO SECURITYUn comportamiento que se repite en varios usuarios infectados por el virus es que tienen problemas con el uso de acentos, en lugar de colocar los acentos normales (á é í ó ú), estos son reemplazados por “´´a”, “´´e”,  “´´i “, “´´o” y “´´u” respectivamente. Si te ocurre esto, ejecuta un antivirus actualizado o un programa de eliminacion de SpyWare, para descartar cualquier riesgo.

A continuación les entregamos nuestras recomendaciones:

¿QUÉ HACER SI FUISTE VICTIMA DE ESTE FRAUDE?
Si ya ingresaste tus claves, te recomendamos lo siguiente:
  • Comunicate de inmediato con el fono de atención a clientes y pide el bloqueo de tu tarjeta de coordenadas. Si realizas esto lo suficientemente rápido el estafador no podrá operar con las claves que obtuvo.
  • Pide tambien el bloqueo de tu clave de acceso, incluso anda al sitio web del banco  y bloqueala tu mismo ingresandola mal 3 veces seguidas. Desbloqueala solo cuando sepas que no existe ningun riesgo.
  • Ejecuta un antivirus actualizado o un programa de eliminacion de SpyWare, que limpie este troyano de tu computador (por ejemplo AVG Internet Security es gratuito y detecta y limpia esta amenaza).
  • Si tienes sistema operativo Windows, actualiza todos los parches de seguridad.

4 Replies to “Troyano afecta a la Banca Chilena pidiendo todas las coordenadas de tus tarjetas”

  1. catalina Gonzalez Montt dice:

    yo menos mal tengo seguro contra fraude, pero asi y todo el banco no me asegura de devolverme todo el dinero!!!.

  2. catalina Gonzalez Montt dice:

    ayer fui victima de esto e ingrese todos los datos que me pedian. En una de las transferencias que realizaron me llego el nombre, rut y monto de la persona que lo hizo.

  3. JP dice:

    Estimado Cristian, estamo de acuerdo contigo pero solo parcialmente.

    Es cierto que los bancos pueden hacer más que sólo validar la clave y pueden implementar mecanismos para medir el riesgo de una transferencia, por ejemplo, y según ese riesgo pedir un mecanismo adicional de validación.

    Pero también es cierto que el cliente debe estar educado sobre como utilizar sus productos. Así como un cliente sabe que no puede entregar un cheque en blanco, también debería saber que no puede entregar de una vez todas las coordenadas de su tarjeta, es algo que los bancos recalcan en todos sus portales, de manera constante por email, incluso por radio y televisión.

    Cuando un cliente solicita una chequera, está al tanto de los riesgos que asume, de la misma manera hoy deberían estar al tanto de los peligros de la suplantación de identidad por Internet y, lamentablemente hoy nos encontramos con usuarios tremendamente desinformados.

    Vienen ataques más elaborados donde el cliente no podrá saber si el banco o un virus le solicitó 3 coordenadas, ahí se vuelve más importante la acción de los bancos por implementar medidas adicionales de seguridad, pero en este caso en particular del robo de todas las coordenadas, encontramos que el cliente también debe cumplir con un rol de información importante.

    ¿Qué opinas?

  4. Cristian Aguirre dice:

    Como este artículo aparentemente no tiene autor, me voy a referir a “ebanking_news”.

    Señor “ebanking_news”,

    Permítame hacer un reparo a la información que entrega.

    Cuando usted dice “Esto no es un problema de seguridad del banco, sino un archivo infectado que esta ubicado en el computador del cliente”, es una lamentable verdad a medias que invita a engaño y desinformación a todos los lectores no expertos de este artículo.

    es verdad, se necesita que el usuario tenga un virus instalado.
    pero eso NO LE QUITA RESPONSABILIDAD A LOS BANCOS.

    Si bien la sofisticación del “pharming” es alta, no es imposible de detener.

    Hacer sitios mas seguros ES POSIBLE y es un deber de los bancos.

    antes no existían las coordenadas o el “digipass” y los bancos los implementaron.

    así como en el mundo real los bancos se han visto obligados a implementar vidrio antibalas en las cajas, cámaras de seguridad y guardias.

    En el mundo virtual, deben dar el siguiente paso en la carrera armamentista entre hackers y banca. No sólo por que es su deber, sino porque es técnicamente posible.

    pd:
    Lamentablemente para el momento en que escribo este comentario, 3.580 personas se quedaron con la equivocada idea de que los bancos no tienen responsabilidad en el asunto.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

scroll to top