¡Pilas!: Genesis, la tienda electrónica clandestina que permite fraudes
Kaspersky Lab acaba de publicar los resultados de una investigación realizada sobre Genesis, una tienda en línea que tiene a la venta más 60.000 identidades digitales legítimas robadas, y que hace que el fraude con tarjetas de crédito sea mucho más fácil de realizar.
Esta tienda, igual que otras herramientas maliciosas, se aprovecha de la lucha contra el fraude basado en el aprendizaje automático de las “máscaras digitales”, un perfil de cliente único y de confianza creada partiendo de las características del dispositivo utilizado y del comportamiento del usuario.
Cada vez que introducimos nuestros datos financieros, de pago y personales en una transacción online, las soluciones analíticas avanzadas de aprendizaje automático contra el fraude nos comparan con algo que se llama una “máscara digital”. Estas máscaras son únicas para cada usuario, y combinan las huellas digitales dejadas por los dispositivos y navegadores que se utilizan comúnmente para realizar pagos o usar la banca en línea (como la información de la pantalla y el sistema operativo, así como un conjunto de datos del navegador como encabezados, zona horaria, complementos instalados, tamaño de ventana, etc.), con un análisis avanzado y un aprendizaje automático (las cookies del usuario individual, el comportamiento en línea y del computador, etc.).
De esa manera, los equipos antifraude de las entidades financieras pueden determinar si realmente somos nosotros los que estamos introduciendo nuestras credenciales o si un “carder” (traficante de tarjetas) malintencionado intenta comprar algún artículo o servicio con una tarjeta robada, procediendo a aprobar o negar la transacción, o reenviándola para un análisis más detallado.
Sin embargo, la máscara digital puede copiarse o crearse desde cero. Una investigación de Kaspersky Lab descubrió que los ciberdelincuentes están utilizando activamente doppelgangers (copias) para eludir medidas antifraude avanzadas. En febrero de 2019, el informe de Kaspersky Lab destapó la existencia de Genesis Darknet, una tienda online que vende máscaras digitales y cuentas de usuario robadas, a precios que oscilan entre los $5 y los 200 dólares cada una. Sus clientes pueden comprar allí máscaras digitales y nombres de usuario y contraseñas robadas a tiendas online y servicios de pago, y luego las ejecuta a través de un navegador y una conexión proxy imitando la actividad real del usuario. Si disponen de las credenciales auténticas del usuario, el ciberdelincuente puede acceder a sus cuentas online o hacer operaciones nuevas y fiables en su nombre.
“Estamos viendo como el fraude con tarjetas crece en todo el mundo. Y aunque la industria invierte fuertemente en medidas antifraude, la realidad es que atrapar un doppelganger es algo muy difícil. Una forma alternativa de evitar la propagación de esta actividad maliciosa es cerrar la infraestructura de los estafadores. Desde Kaspersky Lab instamos a las autoridades policiales de todo el mundo a prestar atención a este problema y unirse a la lucha”, dijo Sergey Lozhkin, analista de seguridad de Kaspersky Lab.
Otras herramientas permiten a los ciberatacantes crear desde cero sus propias máscaras digitales únicas, que no llamarán la atención ni activarán las soluciones antifraude. Los analistas de Kaspersky Lab han investigado una de esas herramientas, un navegador Tenebris especial que cuenta con un generador de configuración para generar huellas digitales únicas. Una vez creada, el carder puede ejecutar la máscara utilizando un navegador y una conexión proxy y realizar cualquier operación online.
Para mejorar la seguridad, Kaspersky Lab recomienda que las empresas implementen las siguientes medidas:
· Habilitar la autenticación multifactor en cada etapa de los procesos de validación de los usuarios.
· Considerar la posibilidad de introducir nuevos métodos de verificación adicionales, como la biometría.
· Utilizar las analíticas más avanzadas disponibles del comportamiento del usuario.
· Integrar en SIEM (gestión de eventos e información de seguridad), y en otros controles de seguridad, los feeds de inteligencia de amenazas, y acceder así a los datos más relevantes y actualizados sobre amenazas, y prepararse convenientemente ante posibles futuros ataques