¿Qué es un ataque Man in the Browser (MiTB)?

Un ataque Man in The Browser o MiTB es un tipo de ataque informático derivado del ataque Man In The Midle o MITM y que está orientado al robo de datos bancarios.  Un ataque Man in The Browser se produce cuando un código malicioso infecta un navegador web. El código modifica las acciones que realiza el usuario del ordenador y, en algunos casos, es capaz de iniciar acciones independientemente de éste. Cuando un usuario entra en su cuenta bancaria, basta con que utilice un navegador infectado para que se pongan en marcha acciones ilícitas que den lugar a un robo online.


http://www.youtube.com/watch?v=cm0wqPUv6mQ

¿Cuál es el riesgo inherente a los ataques MiTB?

Los ataques Man-in-the-Browser son especialmente difíciles de detectar y, en muchos casos, logran provocar daños de forma totalmente insospechada. Éstas son algunas de las formas en que se producen los ataques MITB y una explicación de por qué plantean un riesgo tan alto.

  • Los ordenadores se infectan fácilmente: La forma más habitual en que los navegadores se infectan con programas maliciosos es a través de la ingeniería social. A menudo, mientras navegan o se descargan medios y otros archivos, se pide a los usuarios que actualicen sus versiones de software. Esas peticiones son tan habituales que muchos usuarios las aceptan de forma automática. Ése es justo el comportamiento que aprovechan los ciberdelincuentes. Crean avisos de descarga que se parecen mucho a los de los vendedores de software legítimos. La mayoría de los usuarios no se dan cuenta de las pequeñas diferencias que existen y aceptan la descarga, infectando así sin darse cuenta su navegador con un programa malicioso. El enorme incremento del uso de las plataformas de redes sociales también ha dado un espaldarazo a los ciberdelincuentes, que difunden este tipo de programas. De hecho, más de un tercio de los ataques de programas maliciosos que se produjeron en la segunda mitad de 2009 tuvo lugar a través de sitios de redes sociales.



  • Son difíciles de detectar: Los programas maliciosos son difíciles de detectar porque utilizan herramientas para cambiar de forma y adaptarse a un objetivo concreto. Este elevado nivel de personalización, a veces para un país o banco concreto, impide que los antivirus, desarrollados para tipos de virus más genéricos, reconozcan el código malicioso.



  • La autenticación tradicional no ayuda: Una sólida autenticación comprueba que la persona que se conecta a un recurso online es realmente quien dice ser. Con los ataques de Man-in-the-Browser, un usuario puede autenticarse correctamente independientemente del hecho de que haya código malicioso activo en el navegador. Cuando el usuario lleva a cabo una transacción online, el navegador infectado lleva a cabo transacciones ilícitas de forma encubierta, ya que ni el cliente ni el banco son conscientes de que está ocurriendo algo irregular.



  • Los mecanismos antifraude y las herramientas basadas en el riesgo tradicionales no son efectivos: Las herramientas antifraude basadas en los riesgos se concentran en la autenticación de los usuarios y la validación de las transacciones pidiendo a los clientes que respondan a una serie de preguntas de seguridad predeterminadas y analizando el comportamiento del usuario y sus patrones bancarios. No tienen forma de detectar si una transacción ha sido iniciada por un programa malicioso o no.


http://www.youtube.com/watch?v=USCHPIQB8_Y

 

¿Qué mecanismos existen contra los ataques Man in The Broswer o MiTB?


Aunque los programas maliciosos están aumentando, hay buenas noticias, ya que las instituciones financieras pueden dar pasos concretos para paliar el riesgo de los ataques Man-in-the-Browser. Siguen algunas medidas de seguridad que los bancos pueden implementar desde ya para proteger a sus clientes, preservar su reputación y reducir las pérdidas económicas.

  • Autenticación y verificación de las transacciones fuera de banda (OOB). La autenticación y verificación de las transacciones OOB exige que se utilice un canal de información distinto del ordenador y el navegador del usuario para confirmar los datos de la transacción y la contraseña necesaria para validarla. Una forma habitual de autenticación OOB es el envío de un mensaje vía SMS junto con los detalles de la transacción al teléfono móvil del usuario para que éste confirme que esos datos son correctos. Cuando se inicia una transacción online a través de la cuenta del cliente, el banco envía un SMS con un código y los detalles de la transacción al teléfono móvil del cliente. La transacción sólo se realizará de manera definitiva cuando el cliente la valide introduciendo esa contraseña única en el portal de banca online. Aunque la autenticación vía SMS no impide que los programas maliciosos infecten los ordenadores, utiliza un canal de comunicación seguro para alertar a los clientes del banco de la actividad que se está llevando a cabo desde su cuenta. Si el cliente recibe un SMS avisándole de una transacción online, tiene que aprobarla o notificar al banco que él no la ha iniciado.



  • Autenticación basada en certificados combinada con un entorno de navegación seguro. Otra forma de protegerse frente a los ataques Man-in-the-Browser es utilizar la autenticación basada en certificados junto con un entorno de navegación seguro que cuente con medidas adicionales para garantizar que el navegador no se infecte con programas maliciosos. Por ejemplo, el uso de un navegador portátil almacenado en un token de autenticación USB reduce las probabilidades de que su navegador se infecte con programas maliciosos. En este caso, al conectarse online, el usuario primero se autentica a él y luego carga el navegador “limpio” directamente desde el token. El navegador de confianza puede preconfigurarse para abrir un sitio de Internet concreto y bloquear cualquier intento de navegar por otros sitios no designados. Los navegadores de confianza constituyen una medida de seguridad preventiva contra los programas maliciosos. Puesto que el navegador se almacena en un dispositivo de memoria flash externo protegido por una estructura de seguridad, está aislado de la interacción online habitual y, por tanto, no está expuesto a los programas maliciosos.

Comentarios

Publicar un comentario

Entradas populares de este blog

¿Mujeres hermosas de Europa del Este que se enamoran de tí rapidísimamente por Internet? Eso no es amor... son scammers.

¿Has recibido un correo electrónico de una chica guapísima de Europa del Este que dice que está interesadisima en conocerte? ¿La chica en cuestión se ha enamorado de ti rapidísimamente? ¿O quizás has recibido uno en el que aparece el link de una página de contactos donde puedes conocer a chicas hermosas del Este de Europa? Si es así y piensas que has triunfado, que hoy es tu día de suerte... estás muy equivocado. Este tipo de correos electrónicos, llamados scam , constituyen uno de los tipos de fraude online más extendidos en la actualidad; y a las personas que están detrás de ellos se les da el nombre de scammers . Los scammers se hacen pasar por chicas rusas, por lo general muy, pero muy atractivas, envian correos electrónicos indiscriminadamente diciendo "me gusta tu perfil, quiero algo serio contigo, me gustaría conocerte, ando buscando un amor real y puro, blablabla", estos correos nos llegan desde las redes sociales que podemos estar inscritos (facebook, hi5, tagged, m
Leer más

Anatomía de un ataque informático.

Imagen
Existen dos tipos de ataques informáticos: ataques a sistemas y ataques de red. Los ataques a sistemas presentan la siguiente estructura: Fase 1: Búsqueda de información acerca de la víctima. Esta fase es la más sencilla de realizar, y también la más crucial. Se realiza consultando toda la información referente al nombre de dominio de nuestra víctima en alguna de las bases de datos existentes en Internet ( Whois , etc.) o en la página nic del país al que pertenezca nuestra víctima (una página nic es una página donde cada país registra los dominios registrados en él); en el caso de España, ésta página sería http://www.nic.es. En Linux se emplea el comando whois seguido del nombre de d ominio. Ejemplo: whois dominiointeresante.es . Fase 2: Búsqueda de un vector de ataque. Esta fase es la más larga y más tediosa. Consiste en obtener más información acerca de nuestra víctima partiendo de la información obtenida en la 1ª fase. En esta fase se utilizan diversas técnicas: transferencia
Leer más