Cómo los hackers lograron un atraco a un banco mexicano por $ 20 mdd.

Publicado el | por blogcapa8 | Deja un Comentario sobre Cómo los hackers lograron un atraco a un banco mexicano por $ 20 mdd.

En enero de 2018, un grupo de hackers, que ahora se cree que están trabajando para el grupo patrocinado por el estado norcoreano Lazarus, intentó robar $ 110 millones del banco comercial mexicano Bancomext, ese esfuerzo fracasó, pero solo unos meses después, una serie de ataques más pequeños pero más elaborados permitió extraer entre 300 y 400 millones de pesos, ( $ 15 y $ 20 mdd) de los bancos mexicanos.

Así es como lo hicieron: En la conferencia de seguridad de RSA celebrada en San Francisco el viernes pasado, el asesor de seguridad Josu Loza, presentó los hallazgos sobre cómo los piratas informáticos ejecutaron los robos tanto en forma digital como en México. La afiliación de los hackers sigue siendo públicamente desconocida. Loza enfatiza que si bien los ataques probablemente requerían una amplia experiencia y planificación durante meses, o incluso años, fueron habilitados por una arquitectura de red poco segura dentro del sistema financiero mexicano y la supervisión de seguridad en SPEI, la plataforma nacional de transferencia de dinero de México dirigida por el banco central Banco de México, también conocido como Banxico.

Recolecciones fáciles: Gracias a los agujeros de seguridad en los sistemas bancarios dirigidos, los atacantes podrían haber accedido a servidores internos desde la Internet pública o lanzar ataques de phishing para comprometer a los ejecutivos, o incluso a los empleados regulares, para obtener un punto de apoyo. Muchas redes no tenían controles de acceso sólidos, por lo que los hackers pudieron obtener una gran cantidad de credenciales de los empleados comprometidos. Las redes tampoco estaban bien segmentadas, lo que significa que los intrusos podrían usar ese acceso inicial para profundizar en las conexiones de los bancos a SPEI y, eventualmente, a los servidores de transacciones de SPEI, o incluso a su base de código subyacente.

Para empeorar las cosas, los datos de transacciones dentro de las redes bancarias internas no siempre se protegían adecuadamente, lo que significa que los atacantes podían rastrear y manipular los datos. Y mientras los canales de comunicación entre usuarios individuales y sus bancos estaban encriptados, Loza también sugiere que la aplicación SPEI en sí tenía errores y carecía de controles de validación adecuados, lo que hace posible eludir transacciones falsas. La aplicación puede incluso haber sido comprometida directamente en un ataque de cadena de suministro, para facilitar transacciones maliciosas exitosas a medida que avanzaban a través del sistema.

Más información

#HablemosDeSeguridad

Vía @wired

Android Q trae nuevas características de privacidad y seguridad.

Ver más

Publicado el | por blogcapa8 | Deja un Comentario sobre Android Q trae nuevas características de privacidad y seguridad.

Lanzada en Beta 1 la semana pasada, la última versión de Android (Android Q) llegó con nuevas mejoras de protección de la privacidad y otras mejoras de seguridad.

Android Q se basa en funciones introducidas anteriormente, como el cifrado basado en archivos, el modo de bloqueo, las copias de seguridad cifradas, Google Play Protect y más, y trae más control sobre el acceso a la ubicación, transparencia mejorada y mejor seguridad de los datos (muchas de las mejoras son parte de Google Proyecto Strobe).

En Android Q, por ejemplo, las aplicaciones todavía necesitan pedir permiso para obtener la ubicación, pero los usuarios pueden establecer diferentes niveles de permisos, como nunca, solo cuando la aplicación está en uso (en ejecución) o todo el tiempo (cuando está en segundo plano) ).

«Para mantener una buena experiencia de usuario, diseñe su aplicación para que se maneje correctamente cuando su aplicación no tenga permiso de ubicación de fondo o cuando no tenga acceso a la ubicación», le dice Google a los desarrolladores de aplicaciones.

Debido a que es más probable que los usuarios otorguen permisos a una aplicación si entienden claramente la razón por la cual la aplicación los necesita, se recomienda a los desarrolladores que soliciten el permiso de ubicación de los usuarios en contexto, como cuando se habilita una función que requiere ubicación. También se recomienda a los desarrolladores que solo soliciten el nivel de acceso requerido para esa función.

La próxima versión de la plataforma también proporciona a los usuarios un mayor control sobre el acceso a los archivos compartidos, como fotos, videos y colecciones de audio, a través de nuevos permisos de tiempo de ejecución. Las aplicaciones deberán utilizar el selector de archivos del sistema para las descargas, lo que permite a los usuarios decidir a qué archivos de descarga puede acceder la aplicación.

Android Q también evitará que las aplicaciones inicien una Actividad mientras está en segundo plano, evitando así que se centren y se apoderen de la pantalla. Los desarrolladores podrán usar notificaciones de alta prioridad y proporcionar una intención de pantalla completa si su aplicación necesita captar la atención del usuario rápidamente.

Google limitará el acceso a los identificadores de dispositivo no reiniciables, como el IMEI del dispositivo, el número de serie y otros identificadores similares, y aleatorizará la dirección MAC de un dispositivo cuando esté conectado a diferentes redes Wi-Fi de forma predeterminada.

La próxima versión de Android eliminará el acceso a / proc / net, que incluye información sobre el estado de la red de un dispositivo, por lo que requerirá que las aplicaciones que necesitan acceso a dicha información se refieran a las clases NetworkStatsManager y ConnectivityManager.

El acceso a los datos del portapapeles solo estará disponible para el editor de métodos de entrada predeterminado (IME) y la aplicación que actualmente tiene el foco. Además, las aplicaciones solo podrán leer el número de serie de un dispositivo USB después de que el usuario haya otorgado permisos para acceder al dispositivo.

Más información

#HablemosDeSeguridad

Vía @cybersecurityES