domingo, 4 de mayo de 2008

Variables del Phishing - Esnifando los datos de la victima



Un viejo favorito entre la comunidad hacker y cada vez más popular entre los Phishers, es el uso de Key-loggers y screen-grabbers para observar datos confidenciales de clientes que se introducen en aplicaciones Web.



Esta información se recoge localmente y es recuperada por el atacante por los métodos siguientes:



• Flujo continuo de datos (p.e. se envían los datos tan pronto como se generen) usando un previo par de envió/recepción de datos. Para hacer esto, el atacante debe a menudo mantener una conexión abierta a la computadora de la victima.



• Recolección y procesamiento por lotes de la información para la subida al servidor del atacante. Esto se puede hacer con protocolos tales como ftp, HTTP, Smtp, etc.


• Recolección por puerta trasera por el atacante. El software malicioso permite que el atacante conecte remotamente con la máquina del cliente y coja los datos a medida que los precise.


1- Key-loggers: El propósito de los Keyloggers es observar y registrar toda tecla presionada por la victima, especialmente, cuando den datos de autentificación a las entidades objetivo. Con esta información en poder del Phisher puede, más adelante, utilizarla en su beneficio. Los Keyloggers pueden ser objetos pre-compilados que observan todas las teclas presionadas, sin importar el uso o el contexto (p.e. podrían ser utilizados para observar al cliente que usaba un procesador de texto para redactar un documento), o pueden ser escritos en código scripting del navegador para observar las teclas pulsadas según el contexto del navegador Web.

2- Screen-grabbers: Algunos ataques sofisticados de Phishing hacen uso de código diseñado para tomar un “pantallazo” del navegador para visualizar los datos suministrados a la aplicación Web. Esta funcionalidad se utiliza para superar algunas de las medidas seguras que están incorporando las entidades bancarias para prevenir el uso de Keyloggers. En muchos casos, solamente se requiere una ventana relevante y el software del Phisher capturará solamente estos datos, así las transferencias de subidas serán más pequeñas y rápidas.




4 comentarios:

nrl_neus dijo...

Un keylogger (registrador de teclas) es una herramienta de diagnóstico utilizada en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet.

El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario lo revisa) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que sólo requiere clics del ratón. Sin embargo, la aplicaciones más nuevas también registran pantallazos que anulan la seguridad de esta medida.Cabe decir que esto podría ser falso ya que los eventos de mensajes del teclado deben ser enviados al programa externo para que se escriba el texto, por lo que cualquier keylogger podría registrar el texto escrito mediante un teclado virtual.

El registro de las pulsaciones del teclado se puede alcanzar por medio de hardware y de software:

Keylogger por hardware, son dispositivos disponibles en el mercado que vienen en tres tipos:
Adaptadores en línea que se intercalan en la conexión del teclado, tienen la ventaja de poder ser instalados inmediatamente. Sin embargo, mientras que pueden ser eventualmente inadvertidos se detectan fácilmente con una revisión visual detallada.
Dispositivos que se pueden instalar dentro de los teclados estándares, requiere de habilidad para soldar y de tener acceso al teclado que se modificará. No son detectables a menos que se abra el cuerpo del teclado.
Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente imperceptibles, a menos que se les busque específicamente.
Keylogger por software. Contrariamente a las creencias comunes, un keylogger por software es simple de escribir, con un conocimiento de trabajo de C o de C++ y un conocimiento de los API proporcionados por el sistema operativo del objetivo. Los keyloggers del software bajan en las categorías siguientes:
Basado en núcleo: Este método es el más difícil de escribir, y combatir. Tales keyloggers residen en el nivel del núcleo y son así prácticamente invisibles. Derriban el núcleo del OS y tienen casi siempre el acceso autorizado al hardware que los hace de gran alcance. Un keylogger que usa este método puede actuar como conductor del teclado por ejemplo, y accede así a cualquier información mecanografiada en el teclado mientras que va al sistema operativo.
Enganchados: Tales keyloggers enganchan el teclado con las funciones proporcionadas por el sistema operativo. El sistema operativo los activa en cualquier momento en que se presiona una tecla y realiza el registro.
Métodos creativos: Aquí el programador utiliza funciones como GetAsyncKeyState, GetForegroundWindow, etc. Éstos son los más fáciles de escribir, pero como requieren la revisión el estado de cada tecla varias veces por segundo, pueden causar un aumento sensible en uso de la CPU y pueden ocasionalmente dejar escapar algunas pulsaciones de teclas.

suguegui dijo...
Este comentario ha sido eliminado por el autor.
Jéssica dijo...

Un keylogger es una herramienta de diagnóstico utilizada en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet.
El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario lo revisa) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de cómo soldarlos). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que sólo requiere clics del ratón. Sin embargo, las aplicaciones más nuevas también registran pantallazos que anulan la seguridad de esta medida. Cabe decir que esto podría ser falso ya que los eventos de mensajes del teclado deben ser enviados al programa externo para que se escriba el texto, por lo que cualquier keylogger podría registrar el texto escrito mediante un teclado virtual.

Jéssica Castilla

E.G.R. dijo...

Los nombres de la información solicitada tienen una relación entre sí. Todos ellos convergen en la organización dedicada al cibercrimen "RBN" (Russian Business Network).

·Flyman es el apodo del que puede ser el fundador o líder de la RBN. Hay indicios de que esté protegido por influencias políticas.

·Nikolay Ivanov parece ser el responsable de la comunicación y administración, registrando a su nombre varios dominios. También se sospecha que usa el apodo de "Tim Jarret" para comunicarse con el resto.

·Nevacon es un afiliado de RBN el cual se encarga del control del malware. Además, se alberga en la red del RBN.

.Aki mon Telecom es la filial directa de RBN. Se encarga de albergar los programas maliciosos.

E.G.R. 11366202

Web Statistics