Zeus es capaz de hacer lo siguiente:
El usuario entra en la página legítima con su usuario legítimo y sus claves legítimas y hace una transferencia usando su clave dinámica. En ese momento Zeus intercepta la conexión y cambia la cuenta de destino por la de un mulero, generando un mensaje de respuesta normal para el cliente.
El keylog es lo mínimo que se despacha, estos bichos son capaces de verdaderas maravillas.
Gracias por la confianza, echamos una blitz cuando quieras ;)
Todo correcto, un sólo matiz, el banco también juega con una cláusula del contrato por el que el cliente se compromete a custodiar sus claves y no facilitarlas. Y muchas veces, cuando el usuario, engañado por ingeniería social facilita sus claves, no es facil determinar si las contraseñas se han custodiado diligentemente o no.
Hola Rankianos:
Por lo que leo, operar con la banca online es jugar a la ruleta rusa. Pues nada a la física y sino a "BanKolchón", que ni en esta entidad están seguros los Lereles, hay muchísimo ladrón por todos lados.
Saludos.
Un registro de la MAC de tu tarjeta de red y haría todo mucho difícil. En caso de que ésta no coincida, otro tipo de comprobación vía e-mail y SMS.
El ataque de Zbot que describe Froscas (cambiar la cuenta de destino) se resuelve comprobando la respuesta del banco antes de la confirmación definitiva, que dudo que sepa replicar al vuelo el diseño y toda la información de respuesta que tu entidad te podrñia dar. En cualquier caso, podría intentar resolverse también mediante SMS con los datos de destino y cantidad.
Por otro lado creo que un VirtualBox con un linux si usas windows y adiós problema.
¿Es decir que para los que tenemos Windows, instalamos en VirtualBox por ej. el Ubuntu y operamos con éste SO, los cacos lo tienen muchísimo mas difícil?
Mis comentarios iban destinados a usuarios de Windows, claro que hay soluciones sofisticadas, el problema es que la banca on-line se vende por su comodidad y facilidad, no porque haya que hace un master para usarla. Y sí, el bicho sí que es capaz de replicar la respuesta de la entidad mediante inyecciones HTML.
Sobre los SMS, los nuevos ataques man in the mobile también son capaces de infectar los móviles para que las claves se reenvíen al móvil del caco sin que el cliente se dé cuenta de nada. Evidentemente la conjugación de distintas medidas de seguridad lo pone más difícil, porque no se pueden cambiar los datos al vuelo y al mismo tiempo usar claves OTP reenviadas.
Pero yo siempre me pregunto por qué estos genios no se dedican a algo positivo para la humanidad, cuanto talento delinquiendo...
Bueno, una gran defensa contra el phishing no es tanto la dificultad para obtener las claves sino montar el tinglado necesario para hacer algo con ellas.
Tu imagina que te doy mis claves de banca electrónica. Bueno, ¿y qué? ¿Qué haces con ellas? ¿Te mandas una transferencia a ti mismo?
Claro que las redes internacionales tienen sistemas de blanqueo, pero fíjate si al final el problema es complicado que muchas veces tienen que recurrir a mulas (intermediarios) que les reenvíen el dinero, y si les pillan (que les pillan) pues que apechuguen las mulas si no han sido capaces de abrir una cuenta con DNI falso.
Lo gracioso es que muchas de estos intermediarios no saben ni de qué va la película, sino que responden a ofertas de trabajo tan jugosas como "recibirá usted cantidades de dinero que tendrá que reenviar a la cuenta que le indiquemos. Quédese con el 10% de cada operación.". Toma castaña, con el paro que hay...