phishing

Webinar: Analisis forense y Pericias en casos de ciber fraude financiero por phishing

Guido Rosales 17/06/2023

INTRODUCCION

RESPONSABILIDAD POR EL EFECTO DEL PHISHINGDe acuerdo con la regulación vigente del BCB y ASFI sobre IEP – Instrumentos Electrónicos de Pago, algunas de las Entidades Financieras no la estarían aplicando a cabalidad. La regulación dice que se deben implementar SISTEMAS ANTIFRAUDE que detecten operaciones inusuales, basados en la creación de reglas de frecuencia, velocidad, montos limite, uso de dispositivos de confianza, ubicación geográfica no habitual y otros que nos llevan a sistema MFA o de factor múltiple en la autenticación.Seguimos conociendo casos de suplantación de identidad y transferencias no reconocidas por los titulares de las cuentas. Entonces se debería aplicar lo que la normativa vigente dice y el banco o entidad financiera, debería demostrar que ha cumplido a cabalidad.En el video explico un poco el sentido de esta afirmación sobre el marco de cumplimiento y las posibilidades que propone para mitigar el efecto del phishing como instrumento ejemplo del robo de credenciales.Si mediante un análisis forense especifico de cada caso se determina que el Banco NO HA APLICADO la normativa, entonces debe hacerse responsable del monto total defraudado en beneficio del cliente financiero.https://yanapti.com/wp-content/uploads/2023/06/Responphishing-1.m4v

OBJETIVO

Se plantean los siguientes objetivos

Analizar y determinar las responsabilidades de las entidades de intermediacion financiera en el resultado final y no solo en las formas y medios utilizados.
Analizar el marco de cumplimiento vigente
Analizar las opciones de la supuesta victima en el marco del proceso legal iniciado

DIRIGIDO A

El Contenido es recomendable para:

Profesionales del area tecnica que puedan participar como testigos de cargo o descargo, peritos o consultores tecnicos
Profesionales del Area legal que puedan apoyar o llevar el proceso relacionado
Profesionales del area de Riesgo y cumplimiento de entidades financieras
Profesionales de diversas areas en las empresas y/o personas particulares que hayan sido victimas de estos casos

CONTENIDO

Se plantea el siguiente contenido referencial:

1. El Ciber crimen y el crimen organizado internacional

2. El ciber crimen en Bolivia. Estado del arte y casos relacionados

3. El phishing y sus variantes

4. El marco de cumplimiento sobre IEP - Instrumentos Electrónicos de Pago

5. La banca digital en Bolivia: canal web y canal móvil

6. Análisis de las opciones autoría. Desde las internas, combinadas y hasta las externas

7. El rol del consultor técnico en la fase previa a la denuncia

8. Análisis del perfil tecnológico de la supuesta victima

9. Análisis del Perfil tecnológico de la Entidad Financiera

10. La denuncia y proceso penal a instancias de la victima

11. La definición de puntos periciales

12. Los requerimientos fiscales/judiciales de información: Políticas, normas, informes, logs y otros.

13. El perito informático y su informe

14. La preparación para el Juicio oral

INVERSION

Interesados en General - 450Bs
Clientes de Yanapti / Infofor - 350Bs

Comprende participacion en el evento y certificado correspondiente.

FECHA Y HORARIO

Martes 27 de junio
De 19:30 a 22:00

FORMULARIO DE REGISTRO

Cargando…

España: La responsabilidad bancaria en los casos de phishing

Editor YPT2 09/02/2022

La nota distintiva es que la realización de manipulaciones y artificios no está dirigida a otros, sino a máquinas que, en su automatismo y como consecuencia de una conducta artera, actúan en perjuicio de tercero. Dada la complejidad, se amplía la fórmula empleada por el legislador y se admite la comisión del delito a través de diversas modalidades que pueden consistir en la alteración de los elementos físicos de la máquina, de aquellos que permite su programación o por la introducción de datos falsos: creación de órdenes de pago o de transferencias, manipulaciones de entrada o salida de datos en virtud de los que la máquina actúa en su función mecánica propia, etc.

En este contexto, el “phishing” por e-mail fraudulento, tal y como ha quedado definido por tribunales como la Audiencia Provincial de Madrid en su Sentencia de 24 de enero de 2018, “se basa en el envío de correos electrónicos que, aparentando provenir de fuentes fiables, en el caso: de la entidad bancaria de los perjudicados, obtienen o intentan obtener datos confidenciales del usuario como sus claves bancarias, las que posteriormente se utilizan para la realización de la estafa, es decir: para acceder a su cuenta corriente y efectuar trasferencias de dinero dirigidas a un beneficiario, autor directo o colaborador necesario del fraude”.

La Sentencia de la Audiencia Provincial de La Rioja de 3 diciembre explica el significado del concepto phishing de la siguiente manera: “de forma gráfica se dice que el autor "pesca los datos protegidos" - de ahí la denominación phishing -, que permiten el libre acceso a las cuentas del particular y, a partir de ahí, el desapoderamiento”, y la Sentencia de la Audiencia Provincial de Valladolid 263/2010 de 21 de junio de 2010 explica su objetivo aclarando “que, mediante una manipulación informática, se efectúe una transferencia no consentida de activos en perjuicio de un tercero”. Teniendo como particularidad que “en este caso, el acto de disposición patrimonial no se realiza por la víctima del engaño, sino por el propio autor, a través del sistema, por lo que la transferencia debe ser no consentida”.

¿Se puede reclamar al banco?

La Ley 16/2009, de 13 de noviembre, de servicios de pago, fue derogada con efectos de 25 de noviembre, por el Real Decreto-ley 19/2018 de Servicios de pago y otras medidas urgentes en materia financiera, vigente hoy día, con motivo de la transposición al ordenamiento interno de la Directiva (UE) 2015/2366 del Parlamento y del Consejo, de 25 de noviembre, sobre Servicios de Pago en el Mercado Interior.

Esta Directiva, conocida como DSP2, establece normas exhaustivas para los servicios de pago que se complementan con lo establecido en el Reglamento 2018/389, concretamente respecto a las normas para la autenticación reforzada de clientes.

Esto último es lo que nos interesa en este caso, ya que este reglamento obliga a las entidades bancarias (que son las proveedoras de los servicios/medios de pago) a disponer de mecanismos de supervisión de las operaciones que les permitan detectar transferencias de pago no autorizadas o fraudulentas. Es decir, los bancos deben poder detectar que los elementos de autenticación (las claves personales) han sido comprometidas o sustraídas y deben detectar señales de infección por programas informáticos maliciosos en el proceso de autenticación.

En este sentido y a nivel nacional, el RDL 19/2018 dedica entre sus disposiciones, un apartado a las transferencias no consentidas. Así, el artículo 36 hace referencia al consentimiento y a la retirada del mismo, señalando que:

1. Las operaciones de pago se considerarán autorizadas cuando el ordenante haya dado el consentimiento para su ejecución. A falta de tal consentimiento la operación de pago se considerará no autorizada. El consentimiento para la ejecución de una operación de pago podrá darse también por conducto del beneficiario o del proveedor de servicios de iniciación de pagos.

El ordenante y su proveedor de servicios de pago acordarán la forma en que se dará el consentimiento, así como el procedimiento de notificación del mismo.

2. El consentimiento podrá otorgarse con anterioridad a la ejecución de la operación o, si así se hubiese convenido, con posterioridad a la misma, conforme al procedimiento y límites acordados entre el ordenante y su proveedor de servicios de pago.

3. El ordenante podrá retirar el consentimiento en cualquier momento, pero no después de la irrevocabilidad a que se refiere el artículo 52. Cuando el consentimiento se hubiese dado para una serie de operaciones de pago, su retirada implicará que toda futura operación de pago que estuviese cubierta por dicho consentimiento se considerará no autorizada.

Por tanto, en los casos de e-mail fraudulento o ‘phishing’, la transferencia debe entenderse como no autorizada, por lo que mientras la víctima cumpla con lo establecido en el artículo 43 en referencia a la notificación de operaciones de pago no autorizadas sin demora y desde que se tiene conocimiento de los hechos, la responsabilidad recae en el proveedor de servicios de pago, tal y como establece el artículo 45:

1. Sin perjuicio del artículo 43 de este real decreto-ley, en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante devolverá a éste el importe de la operación no autorizada de inmediato y, en cualquier caso, a más tardar al final del día hábil siguiente a aquel en el que haya observado o se le haya notificado la operación, salvo cuando el proveedor de servicios de pago del ordenante tenga motivos razonables para sospechar la existencia de fraude y comunique dichos motivos por escrito al Banco de España, en la forma y con el contenido y plazos que éste determine. En su caso, el proveedor de servicios de pago del ordenante restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

2. Cuando la operación de pago se inicie a través de un proveedor de servicios de iniciación de pagos, el proveedor de servicios de pago gestor de cuenta devolverá inmediatamente y, en cualquier caso, a más tardar al final del día hábil siguiente, el importe de la operación de pago no autorizada y, en su caso, restituirá la cuenta de pago en la cual se haya efectuado el adeudo al estado en el que se habría encontrado de no haberse efectuado la operación no autorizada.

Si el responsable de la operación de pago no autorizada es el proveedor de servicios de iniciación de pagos, deberá resarcir de inmediato al proveedor de servicios de pago gestor de cuenta, a petición de este, por las pérdidas sufridas o las sumas abonadas para efectuar la devolución al ordenante, incluido el importe de la operación de pago no autorizada. De conformidad con el artículo 44.1, corresponderá al proveedor de servicios de iniciación de pagos demostrar que, dentro de su ámbito de competencia, la operación de pago fue autenticada y registrada con exactitud y no se vio afectada por un fallo técnico u otras deficiencias vinculadas al servicio de pago del que es responsable. (…)

De acuerdo con estas disposiciones, nuestros tribunales entienden que las entidades bancarias tienen la obligación de garantizar la seguridad de sus clientes y por tanto, responden por los efectos de sus propios sistemas de autenticación.

Por ejemplo, la Audiencia Provincial de Valencia en su Sentencia de 26 de noviembre de 2014, señala que:

“Estimadas como no autorizadas las operaciones bancarias descritas, habrá de estarse a lo que establece el siguiente artículo 31 de la LSP (hoy artículo 45 de la Ley 19/2018) (…) por lo que, en tal perspectiva, y teniendo en cuenta las irregularidades apreciadas, es pertinente apreciar que la entidad bancaria no desplegó toda la diligencia exigible al buen comerciante en el sector del tráfico de que se trata.”

Y confirma la Audiencia Provincial de Alicante en su Sentencia de 12 de marzo de 2018 aclarando que:

1º.) El proveedor de los servicios de pago (la Entidad Bancaria) “debe implementar las medidas necesarias para asegurar la autenticación e identidad del ordenante a la hora de prestar su consentimiento. Por ello y para su ejecución, el banco debe comprobar en todo caso la autenticidad de la orden”;

2º.) “La falsedad de la transferencia (es decir, que el ordenante no sea el titular de la cuenta) es un riesgo a cargo del banco porque, en principio, el deudor sólo se libera pagando al verdadero acreedor por lo que, si el banco cumple una orden falsa, habrá de reintegrar en la cuenta correspondiente las cantidades cargadas”.

3º.) “La responsabilidad en estos supuestos no puede atribuirse directamente al supuesto ordenante de la transferencia por entenderse ésta autorizada al haberse realizado de acuerdo con los sistemas de autenticación del banco. Los sistemas de autenticación se establecen por los proveedores de servicios de pago y si un banco no ha sido capaz de limitar el acceso al canal de banca electrónica no puede pretender que el presunto ordenante víctima de esta práctica fraudulenta sea el único responsable, pues es el banco quien tiene responsabilidad respecto del buen funcionamiento y la seguridad del mismo”.

4º.) “Las medidas de seguridad no solamente están destinadas a proteger la seguridad de las órdenes de pago emitidas por los clientes, sino que su eficacia exonera a las entidades de crédito de su responsabilidad frente a las órdenes de pago no emitidas por sus clientes de tal forma que el incumplimiento de este específico deber de vigilancia da lugar a una responsabilidad por “culpa invigilando” o responsabilidad objetiva por el mal funcionamiento de los servicios de banca electrónica”.

Por tanto, la jurisprudencia confirma que es la prestadora de los servicios de pago quien tiene la obligación de facilitar un sistema de banca telemática segura, y no son sus clientes- usuarios los que deben prevenir ni averiguar las modalidades de riesgos que el sistema conlleva, ni prevenir con un asesoramiento experto los mismos, no pudiendo en suma la parte obligada legalmente a ofrecer un modelo de servicio de caja que requiere de un especial nivel de seguridad, objetar que el usuario debía conocer aspectos técnicos tales como identificar una web como falsa -cuando no consta que fuera burda y por tanto, evidente de toda falsedad-, ni que no eran fallos técnicos sino riesgos fraudulentos, determinados comportamientos de la plataforma que, no se olvide, son tan factibles que incluso el contrato de banca directa alude -para eludir responsabilidades el prestador- al riesgo de fallos técnicos, errores, interrupciones, desconexiones, sobrecargas y otras formas de defectos en la conexión.

GoDaddy hackeado, 1,2 millones de clientes en riesgo de ataque de phishing

Editor YPT 24/11/2021

Se expusieron las direcciones de correo electrónico de los clientes, al igual que las credenciales de inicio de sesión de WordPress y la base de datos.

El registrador de dominios GoDaddy ha compartido detalles de una grave brecha de seguridad que expuso los detalles de 1,2 millones de clientes.

En una divulgación a la Comisión de Bolsa y Valores de EE. UU., Demetrius Comes, director de seguridad de la información de GoDaddy, compartió detalles del ataque. Se descubrió actividad sospechosa el 17 de noviembre en el entorno de alojamiento de WordPress administrado de la empresa , que resultó ser un tercero que usaba una contraseña comprometida para obtener acceso.

Hasta 1,2 millones de clientes de WordPress administrado activos e inactivos tuvieron sus direcciones de correo electrónico y números de clientes expuestos. El tercero también obtuvo acceso a la contraseña de administrador de WordPress para estas cuentas, así como al nombre de usuario y la contraseña de la base de datos sFTP para los clientes activos. Para un "subconjunto de clientes activos", también se expuso la clave privada SSL.

GoDaddy está investigando el ataque con la ayuda de una firma forense de TI y la policía ha estado involucrada. Las contraseñas para las cuentas de WordPress y el acceso a la base de datos ya se han restablecido y se están emitiendo nuevos certificados SSL para los clientes afectados.

Aunque la compañía admite que las direcciones de correo electrónico que se exponen presentan el riesgo de ataques de phishing , hasta el momento no se ha ofrecido ninguna protección gratuita.

Comes concluye la divulgación declarando:

"Lamentamos sinceramente este incidente y la preocupación que causa a nuestros clientes. Nosotros, el liderazgo y los empleados de GoDaddy, tomamos muy en serio nuestra responsabilidad de proteger los datos de nuestros clientes y nunca queremos defraudarlos. Aprenderemos de este incidente y ya estamos tomando medidas para fortalecer nuestro sistema de aprovisionamiento con capas adicionales de protección ".

GoDaddy, una empresa de alojamiento web y dominios de Internet, anunció que casi 1,2 millones de las cuentas de sus clientes quedaron expuestas en un ataque reciente.

La compañía estadounidense presentó un informe de incidente ante la Comisión de Bolsa y Valores (SEC) el lunes, indicando que había identificado una 'actividad sospechosa' en su entorno de alojamiento de WordPress administrado.

Según el documento, "un tercero no autorizado accedió al sistema de aprovisionamiento en nuestra base de código heredado para WordPress administrado".

GoDaddy señala que se recopilaron correos electrónicos y números de clientes durante el ataque y advierte que esto podría resultar en ataques de phishing, un tipo de estafa en la que un atacante envía un mensaje fraudulento diseñado para engañar a la víctima para que les brinde información confidencial.

"Identificamos actividad sospechosa en nuestro entorno de alojamiento de WordPress administrado e inmediatamente comenzamos una investigación con la ayuda de una firma forense de TI y contactamos a la policía", dijo el director de seguridad de la información, Demetrius Comes, en la presentación.

La compañía, cuyas acciones cayeron alrededor de un 1,6 por ciento en las primeras operaciones del lunes, dijo que había bloqueado de inmediato al tercero no autorizado y que aún se estaba investigando.

GoDaddy descubrió que el tercero no autorizado accedió a su sistema el 6 de septiembre de 2021, pero la firma no identificó el adjunto hasta el 17 de noviembre.

Para los clientes activos, se expuso el Protocolo de transferencia de archivos SSH, que es un protocolo de red que proporciona acceso, transferencia y administración de archivos a través de un flujo de datos, y se expusieron los nombres de usuario y las contraseñas de la base de datos.

Sin embargo, la presentación dice que GoDaddy ha restablecido ambas contraseñas.

Comes también señala que la firma está trabajando con las fuerzas del orden y las empresas forenses de TI privadas, según Engadget, que informó por primera vez sobre el asunto.

"Lamentamos sinceramente este incidente y la preocupación que causa a nuestros clientes", escribió Comes en la presentación de la SEC.

'Nosotros, el liderazgo y los empleados de GoDaddy, tomamos nuestra responsabilidad de proteger los datos de nuestros clientes muy en serio y nunca queremos defraudarlos. Aprenderemos de este incidente y ya estamos tomando medidas para fortalecer nuestro sistema de aprovisionamiento con capas adicionales de protección '.

Esta no es la primera vez que GoDaddy ha sido atacado: en 2012, un incidente separado cerró todos los sitios web alojados en su sistema, lo que afectó a miles, tal vez incluso a millones, de empresas.

El ataque dejó los sitios web fuera de línea durante varias horas el 10 de septiembre y un feed de Twitter afirmaba estar afiliado al grupo de piratas informáticos 'Anónimo'.

FoxNews luego identificó al pirata informático como el usuario de Twitter Own3r después de que envió un correo electrónico al sitio y verificaron la identidad del estafador a través de varias afirmaciones de Twitter.

La compañía confirmó un ataque más reciente a GoDaddy en mayo de 2020 , admitiendo que 28,000 cuentas de alojamiento de clientes se vieron comprometidas en una violación de seguridad.

Según BleepingComputer , GoDaddy informó recientemente a los clientes que una "persona no autorizada" había obtenido acceso a la información de inicio de sesión de las cuentas de alojamiento de la empresa.

GoDaddy dice que aunque se había accedido a las cuentas de usuario, no había evidencia de que hubieran sido modificadas. Desde entonces, ha restablecido las contraseñas de los afectados.

También señala que solo se vio comprometida la información de inicio de sesión y contraseña de las cuentas de alojamiento, mientras que las cuentas principales no se habían violado.

Fuentes:

https://www.pcmag.com/news/godaddy-hacked-12m-customers-at-risk-of-phishing-attack

https://www.dailymail.co.uk/sciencetech/article-10230727/GoDaddy-reveals-new-hack-exposed-1-2-MILLION-customer-emails-numbers.html