McAfee y Guardian Analytics, organismo enfocado en la protección de fraudes para instituciones de servicios financieros, dieron a conocer importantes detalles acerca de la detección de uno de los fraudes financieros más sofisticados de los últimos tiempos, la denominada Operación High Roller.
Basado en tácticas de malware conocido como Zeus y SpyEye (activados de manera manual por los delincuentes) el fraude se armó con innovadores avances de sofisticada automatización que no se habían visto hasta el momento, poniendo al descubierto una sorprendente campaña de ataques globales a más de 60 de instituciones financieras tanto de Europa como del continente americano entre las que se encontraban Uniones de Crédito, Bancos Regionales e incluso Bancos de carácter Global de países tales como Italia, Alemania, Estados Unidos y Colombia, entre otros.
El objetivo de los defraudadores era obtener grandes sumas de dinero proveniente únicamente de cuentas bancarias, privadas y comerciales, cuyo saldo regular era de al menos 500,000 euros, característica que le valió el nombre en inglés de Operación High Roller (grandes apostadores).
Se estima que los ciberdelincuentes han obtenido al menos 60 millones de euros con esta operación; sin embargo, podrían haber alcanzado hasta los 2 mil millones de euros, una cifra multimillonaria que impacta directamente al sistema financiero mundial.
Los ataques, que a diferencia de otros tantos perpetrados en el pasado no requieren de la participación de seres humanos, se realizan rápida y puntualmente escalando a gran velocidad, lo que revela un evidente nivel de conocimiento interno del sistema de transacciones bancario por parte de los ciberdelincuentes para no ser detectados por los múltiples candados de seguridad establecidos por los organismos financieros.
Los ataques estuvieron basados en códigos de web injects (alterando lo que el usuario de la cuenta ve en la sesión del browser), robo de información (extracción de dinero de una cuenta) así como transacciones complementarias ocultas. No obstante, los defraudadores esta vez fueron más allá e integraron 3 nuevas estrategias con factores de ataque únicos que elevaron su sofisticación: una gran capacidad de automatización, uso de servidores alternos así como ataques híbridos manuales y automatizados sobre objetivos concretos de cuentas de gran valor comercial.
La investigación detectó cerca de 60 servidores localizados alrededor del mundo procesando miles de intentos de robo de cuentas de alto valor comercial así como de redes de individuos de gran poder adquisitivo. Las cuentas meta fueron identificadas a través de reconocimiento online y diseminación de phishing así como del uso de páginas de hospedaje previamente infectados. Dichas transacciones fueron llevadas a cabo a través de múltiples cuentas bancarias llamadas “mulas”, quienes servían para transportar virtualmente el dinero y quienes alcanzaban ataques promedio de miles de euros con transferencias de hasta 130,000 dólares en cada intento.
Las actividades detectadas en la Operación High Roller revelaron también la evasión de los complejos sistemas multiniveles de autenticación de las instituciones bancarias. A pesar de que otros ataques habían logrado obtener información básica de los usuarios (cambios de preguntas de las víctimas, recuperación de PIN, etc.), en esta ocasión lograron incluso eludir la extensa autenticación física requerida en algunos países de deslizar una tarjeta en el lector asignado y teclear datos personales en los campos (autenticación de dos factores). Lo que representó un enorme paso en los sistemas utilizados por defraudadores.
Los defraudadores, quienes claramente conocen la industria bancaria, buscaron eliminar evidencia de las transacciones usando acciones como borrar los links para impresión de estados de cuenta para los clientes, la destrucción de correos de confirmación de movimientos así como las copias de estados de cuenta enviados por correo a los clientes.