Hacking Bancario y recomendaciones de seguridad #CPCO4


Resumen de la conferencia: Hacking Bancario.

En esta ocasión el Conferencista y Docente Alexander Narváez nos presenta el tema de Hacking Bancario gracias a su experiencia con casos particulares en el sector financiero.

El pase de diapositivas requiere JavaScript.

INTRODUCCIÓN: En la charla hablo sobre Riesgos y Seguridad Informática, la importancia de la ley 1273 de 2009 en Colombia, como funciona el Skimming, Marcas de Cajeros, desencriptar la información donde está la cuenta y el PIN, además de cómo funciona un troyano bancario y finalmente unas recomendaciones de qué hacer si somos víctimas de hurto virtual electrónico.

Ley 1273 de 2009 en Colombia: Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

Esta ley es fundamental conocerla para gestionar los delitos informáticos en Colombia.

Link: http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.html

¿Cómo funciona el Skimming? Hacen copia del backup residente en el cajero para  luego desencriptar la información y obtener los tracks.

Marcas de cajeros: Las principales marcas son DIESBOL, WINCOR, NIXDORF.

¿Qué sistema operativo tienen? Para sorpresa de muchos la mayoría de estos tienen sistema operativo Windows.

Desenctiptar la información: Básicamente se extrae el archivo con formato de texto y sav, el cual tiene la información de la cuenta bancaria y el PIN encriptado, por lo cual se requiere de un programa para realizar este proceso, finalmente se debe tener la nomenclatura del banco para obtener toda la información necesaria.

¿Cómo funciona un troyano bancario? Se realiza un script para el registro, con el fin de que esté pendiente de la barra de titulo del navegador  y cuando llegue a la ventana del banco, entonces captura el primer clic y adicionalmente las coordenadas del puntero para grabar la clave de la víctima.

Recomendaciones: Las siguientes son recomendaciones a seguir después de un hurto electrónico bancario.

  •          Denunciar ante las autoridades
  •          Exigir  el log de auditoria
  •          Derecho de petición a la superintendencia financiera
  •          Publicar el caso en la Web. (Próximamente se habilitara una categoría en la comunidad DragonJAR http://www.dragonjar.org para este tema).

Video de la charla

By @JOGAcrack.

Anuncios