Informe sobre amenaza Janeleiro.mx

Por Jesus Dominguez de Ocelot, equipo ofensivo de Metabase Q

Contexto

Janeleiro es un malware que desde 2019 ataca a usuarios corporativos de bancos grandes en Brasil. Este malware muestra ventanas emergentes falsas que simulan ser formularios legítimos de bancos, para así lograr acceso no autorizado a la banca en línea de las cuentas de las víctimas.

Desde el 26 de enero de 2021, el equipo de Ocelot ha estado monitoreando una campaña activa de Janeleiro. Esta campaña se dirige tanto a tarjetahabientes de bancos mexicanos como a titulares de cuentas de criptomonedas.

Debido a la continua actividad de la campaña en México, hemos decidido hacer públicos sus detalles para evitar más infecciones por parte del grupo malicioso. Dada la región afectada, hemos denominado a esta variante como Janeleiro.mx.

En nuestro análisis, identificamos formularios falsos creados por esta variante de Janeleiro que imitan a los principales bancos de México como: BBVA, Santander, Banorte, HSBC, Scotiabank, Bajío, Banregio y Bitso. Estas formas se activan dependiendo del portal financiero al que acceda la víctima y su principal objetivo es robar credenciales, códigos generados por tokens físicos y cuentas de correo electrónico. A continuación, se detallan los diferentes tipos de ventanas falsas que se muestran a las víctimas:

  • Actualización de alertas de seguridad
  • Actualización de datos de contacto
  • Verificación de contraseñas
  • Sincronización del token
  • Actualización de credenciales de acceso al banco
  • Actualización de NIP

Para la infección inicial, atacantes hospedan el malware en portales comprometidos en países como EE. UU., Inglaterra y Argentina, los cuales cuentan con sitios pobremente protegidos e incluso, que no han sido actualizados por mucho tiempo.

Similitudes con Janeleiro de Brasil

Llegamos a la conclusión que Janeleiro.mx es una variante creada específicamente para México que mantiene ciertas características conocidas. Entre ellas, el lenguaje VB.net, la implementación de funcionalidades del conocido Remote Administration Tool (RAT)NjRAT, capacidad de control vía escritorio remoto e implementación de un keylogger sin privilegios de administrador. Al igual que Janeleiro, esta versión no viene ofuscada o empaquetada y no cuenta con ningún método de anti-debug o anti-sandbox.

Vista rápida de Janeleiro.mx

Infección inicial

El malware es distribuido mediante campañas de spear phishingcon enlaces maliciosos para intentar infectar a la víctima. Se detectaron sitios que aparentemente están comprometidos y los cuales alojan el malware. A diferencia de Janeleiro, que necesita de un archivo MSI para cargar la DLL (Dynamic-linklibrary) maliciosa, Janeleiro.mx es un ejecutable independiente que corre directamente en la máquina infectada.

Figura 2. Sitio activo desde donde se descarga el malware

A su vez, han existido otros sitios aparentemente comprometidos, pero que ya no se encuentran activos, sirviendo el malware. Los sitios son mostrados en la siguiente tabla:

Post-Infección

Una vez que se logra infectar el equipo, Janeleiro.mx monitorea activamente las ventanas que la víctima abre en el equipo y compara el nombre de dichas ventanas con un arreglo que contiene los nombres de los posibles bancos a los que intentará acceder la víctima. Una vez que el malware detecta la interacción con alguna de estas ventanas, este se conecta al servidor C2 del grupo atacante (ver Figura 3) para empezar con la manipulación de los formularios bancarios y poder obtener información sensible de la víctima.

Figura 3. Función que contiene el nombre de los bancos objetivo

El programa simplemente genera una instancia de cliente TCP que se conecta al C2 previamente configurado, en uno de los casos como»a0oi[.]cyou», correspondiente a la IP (107[.]172[.]39[.]4) y puerto(9090) como podemos ver en la Figura 4.

Figura 4. Hosty puerto del C2

Se han identificado los siguientes dominios/IPs y puertos de los C2s utilizados:

A0oi[.]cyou  ->107[.]172[.]39[.]4:9090, dominio creado el 23 de junio del 2020, y sirviendo el malware por primera vez el 30 de abril del 2021.

Otros C2s identificados:

45[.]61[.]137[.]101:9090

104[.]207[.]145[.]29:9090

Una vez establecida la conexión, atacantes empezarán a recibir un registro de todas las acciones que la víctima está realizando en su computadora. Por ejemplo, las ventanas que está abriendo, texto escrito, archivos ejecutados, etc.

Logramos engañar al malware redireccionándolo a nuestro propio C2 y para interactuar con él como lo hace el grupo malicioso (ver Figura 5).

Nota: La cadena “BawaneH” es usada como separador de las cadenas de texto capturadas por el malware.

Figura 5. El C2r ecibe el log de las ventanas y comandos usados por la víctima

Una vez establecida la conexión con el C2, atacantes tienen la posibilidad de mandar distintos comandos para empezar a generar los formularios bancarios falsos, o habilitar y deshabilitar ciertas funciones en el sistema operativo. Tales el caso del comando “GetDrives que envía los discos lógicos disponibles de la víctima (ver Figura 6).

Figura 6. Recibiendo respuesta del comando “GetDrives en nuestro C2

Por otro lado, simulamos cómo atacantes apagan el equipo de la víctima con el comando “Shutdown que se puede ver en la Figura 7.

Figura 7. Ejecutando el comando “Shutdown desde nuestro C2 (lado derecho)

Interactuando con atacantes

Cabe señalar que, durante el análisis del malware, infectamos un equipo permitiendo que el grupo malicioso interactuara con él. El primer comando que mandaron fue “info”, el cual regresa los datos del equipo, usuarios que han iniciado sesión, versión del SO, etc. Se puede observar dicha información en la Figura 8.

Figura 8. Resultado del comando “info”

Una vez que se dieron cuenta que estaban siendo monitoreados, terminaron la ejecución de Janeleiro.mx con el comando “Uninstall”, el cual elimina una llave del registro y finaliza la ejecución del malware como se muestra en la Figura 9.

Figura 9. Código para desinstalación del malware

De acuerdo con el análisis y la evidencia mostrada anteriormente, podemos clasificar en dos grupos los comandos que el C2 puede enviar al equipo infectado.

El primer grupo son comandos para administrar el sistema; estos permiten modificar registros, borrar archivos, modificar el portapapeles, obtener los procesos corriendo en el equipo, apagar y encender el monitor o equipo y cerrar la sesión del usuario, entre otras operaciones. A continuación, una lista de los comandos que pertenecen a este grupo:

info
getlog
CloseCD
GetProcesses
DisableTaskManager
OpenCD
Scroll
TurnOffMonitor
Restart
DisableRegistry
KillProcess
GetDrives
EnableTaskManager
ShowStartTab
Delete WindowsUpdate
DisableCMD
WindowsList
FileManager
Logoff
DisableRestore
EnableCMD
GetKeyloggerData
Shutdown

El otro grupo de comandos se utiliza para generar las ventanas falsas de los portales bancarios, de acuerdo con la información recibida al inicio de la conexión con el C2. Tal es el caso que se muestra en la Figura 10, donde atacantes detectan que la víctima se ha conectado a BBVA mediante el navegador Edge de Windows.

Figura 10. Información recibida en el C2

Al reconocer el banco con el cual está interactuando la víctima, atacantes comienzan a lanzar los comandos correspondientes que presentarán los formularios falsos de esa entidad financiera.

El comando “BancomerBlockAndControl” (ver Figura 11) ejecutado desde el C2, muestra a la víctima el primer formulario falso en este caso correspondiente a BBVA (ver Figura 12).

Asimismo, bloquea totalmente el equipo para que la persona usuaria no interactúe con el sistema operativo intentando detener el ataque.

Figura 11. Comando C2 enviado para bloquear el equipo y mostrar la ventana falsa de BBVA
Figura 12. Ventana falsa del banco BBVA

Además del bloqueo de la pantalla, Janeleiro.mx rechazará los intentos de ejecución del administrador de tareas (Taskmgr), que normalmente se ocupa para listar y terminar procesos en el sistema, garantizando la continua ejecución del malware. Podemos ver el código en la Figura 13.

Figura 13. Función que evita ejecutar el administrador de tareas

Una vez que logran bloquear el equipo y mostrar la primera ventana falsa, continuarán enviando comandos para presentar nuevos formularios y poder robar los datos bancarios de sus víctimas. Estos otros formularios se muestran a continuación.

Figura 14. Ventana falsa para robar correo electrónico

Cuando la víctima da click en “Aceptar”, los datos son enviados al C2 en texto plano. En la Figura 15 se puede observar la recepción de los datos llenados en el formulario.

Figura 15. Recibimos los datos ingresados por la víctima en el formulario falso

Esta acción se repite para nuevas ventanas, como la que se muestra en la Figura 16, la cual solicita el código generado por la aplicación móvil o token de BBVA que es enviado al C2 del atacante.

Figura 16. Robo del token proporcionado por la víctima

Esto continúa hasta finalizar con una última ventana, que intenta mantener a la víctima fuera de toda sospecha, con un mensaje explicativo, como se observa en la Figura 17.

Figura 17. Finaliza el proceso falso para robar los datos de la víctima

A continuación, se muestra la lista completa de comandos que permiten controlar las acciones de Janeleiro.mx en el equipo infectado, mostrando supuestos formularios de validación o actualización de datos:

BancomerFreedom

BancomerOperToken

BancomerQRError

BancomerQRPhoneOnly

BancomerQROnly

SantaToken

SantaFreedom

SantaEmailAndEmail

SantaSetName

SantaTokenSerie

InbursaSetName

InbursaFreedom

NetcashAPPLI1

RegioTokenErrorCustom

RegioToken

BajioLlaveASB

BajioBlock

BajioEmail

BanorteUserPassError

BanorteBlockAndControl

BanorteAccessAndToken

BanorteSetName

BanorteAccessAndTokenError

BanorteEmailPassError

BanorteEmailUpdateError

BanorteOnlyToken

BitsoBlockAndControl

BitsoDatosError

BitsoNIP

BitsoSetName

BajioNIPASB

BajioFreedom

SantaBlockAndControl

SantaSetName

SantaEmailAndEmail

BanaBlockAndControl

BanaEmailPass

BanaEmailPhone

BanaChallng

BanaPoll

HSBCBlockAndControl

HSBCContact

HSBCLoan

HSBCSetName

RegioBlockAndControl

RegioEmailPhone

RegioFreedom2

RegioPoll

SantaToken

SantaTokenSerie

SantaEmailPass

SantaFreedom

Este proceso de robo se repite con otras entidades financieras. A continuación, veremos todos los formularios bancarios falsos preparados por atacantes.

Exfiltrando la información de la clientela de instituciones financieras

Figura 18. Ventana falsa inicial para el robo de información; Ventana falsa para robar correo electrónico y contraseña; Formulario para robo de credenciales; Formulario para robo de token; Pantalla final que termina con la supuesta actualización de Alertas de Banorte
Figura 19. Ventana falsa principal para iniciar el robo de información; Forma para robo de información; Robo de NIP
Figura 20. Inicio del robo de información, simulando una actualización y verificación; Robo de correo electrónico; Formulario para robar correo electrónico y contraseña; Robo de token dinámico; Robo de token dinámico y número de serie del token físico
Figura 21. Inicio del robo de información, simulando una actualización y verificación; Formulario para robar correo electrónico y contraseña; Encuesta falsa de satisfacción; Ventana final de la supuesta validación de datos
Figura 22. Inicio del formulario falso para el Banco HSBC; Formulario para el robo de información; Encuesta falsa de satisfacción; Ventana final del supuesto proceso de validación
Figura 23. Inicio del robo de información, simulando una actualización y verificación; Formulario para robar correo electrónico y número de teléfono; Formulario para robar número de token; Ventana final de la supuesta validación
Figura 24. Inicio del robo de información, simulando una actualización y verificación; Formulario para el robo de correo electrónico; Formulario para robo de NIP ASB; Formulario para el robo de Clave ASB; Ventana final de la supuesta validación

Janeleiro.mx DEMO

En el siguiente video demostramos el proceso antes descrito. Se observa cómo el malware monitorea a la víctima para presentarle formularios falsos que permitan el robo de información confidencial:

https://vimeo.com/574663165/f62975513f

Apéndice A

Indicadores de compromiso (IOCs)

Registros modificados

Mediante los comandos antes mencionados, el malware puede modificar los siguientes registros:

«HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System»,»DisableTaskMgr», «1»

«HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\SystemRestore»,»DisableSR», «0»

«HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System»,»DisableRegistryTools», «1»

«HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System»,»DisableTaskMgr», «0»

«HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Windows\\System»,»DisableCMD», «1»

«HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System»,»DisableRegistryTools», «0»

«software\\microsoft\\windows\\currentversion\\run»,true

«HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\SystemRestore», «DisableSR», «1»

«HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Windows\\System»,»DisableCMD», «0»

Mutex

Vanderbilt00X – Where X is a number from 1 to 9

Archivos creados

C:\%USERNAME%\Descargas\stub.exe -> archivo descargado

C:\%USERNAME%\AppData\Roaming\Vanderbilt007.log -> keylogger file

C:\%USERNAME%\%EXECUTION_FOLDER%\Dbg.txt

C:\%USERNAME%\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\stub.exe.log

Variantes

URLs

These are the URLs linked to the malware download:

http[:]//morningstarlincoln[.]co[.]uk/site/bmw/studi[.]exe

http[:]//morningstarlincoln[.]co[.]uk/okokok/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/bmx/estudiante[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/bmx/

http[:]//morningstarlincoln[.]co[.]uk/site/juli/klmx[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/bmx/estudiante[.]exe/

http[:]//morningstarlincoln[.]co[.]uk/

http[:]//morningstarlincoln[.]co[.]uk/site/amg/todos[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/img/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/mxmx/studiante[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/img/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/muks/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/mexica/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/jejeje/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/mexica/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/alpha/getdata[.]exe

http[:]//morningstarlincoln[.]co[.]uk/alpha/mexico[.]exe

http[:]//morningstarlincoln[.]co[.]uk/kakaka/mx[.]exe

http[:]//morningstarlincoln[.]co[.]uk/kakaka/getdata[.]exe

http[:]//morningstarlincoln[.]co[.]uk/getdata[.]exe

http[:]//morningstarlincoln[.]co[.]uk/aaaaa/hambre[.]exe

http[:]//morningstarlincoln[.]co[.]uk/mams/aka[.]exe

http[:]//morningstarlincoln[.]co[.]uk/klklk/mex[.]exe

http[:]//morningstarlincoln[.]co[.]uk/okokok/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/lopo/malas[.]exe

http[:]//morningstarlincoln[.]co[.]uk/miuold/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/miuold/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/papapa/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/papapa/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/app/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/xml/xml[.]exe

http[:]//morningstarlincoln[.]co[.]uk/mikik/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/mikik/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/mamamama/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/mamamama/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/klgkjgjgg/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/klgkjgjgg/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/ksdksks/finales[.]exe

http[:]//morningstarlincoln[.]co[.]uk/mamamamds/finsalidta[.]exe

http[:]//morningstarlincoln[.]co[.]uk/jajajaja/santois[.]exe

http[:]//morningstarlincoln[.]co[.]uk/edfgefe/getdata[.]exe

http[:]//morningstarlincoln[.]co[.]uk/edfgefe/final[.]exe

http[:]//morningstarlincoln[.]co[.]uk/mamamds/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/lalalala/bajio[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/lalalala/santo[.]exe

https[:]//morningstarlincoln[.]co[.]uk/site/4rr45g

http[:]//morningstarlincoln[.]co[.]uk/site/mama/

http[:]//morningstarlincoln[.]co[.]uk/site/mama/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/okoko/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/okoko/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/okoko/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/kdkdkdkd/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/kdkdkdkd/

http[:]//morningstarlincoln[.]co[.]uk/site/kdkdkdkd/getdata[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/apapapa/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/apapapa/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/4rr45g/

http[:]//morningstarlincoln[.]co[.]uk/site/lolololl/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/maxmaxmamx/santander[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/mxmxmx/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/sadasd/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/okokoko/Kldirecto[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/lolololl/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/okokoko/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/kilolkio/klcompletok[.]exe

http[:]//morningstarlincoln[.]co[.]uk/lopopopo/klcompletok[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/4rr45g/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/okokoko/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/dfefdf/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/mxmxmx/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/ttgtgtgt/bajio[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/4rr45g/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/maxmaxmamx/bajio[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/mamama/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/mamama/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/dfefdf/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/apapapap/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/apapapap/Stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/apapapa/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/mxmxmx/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/sadasd/stub[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/lslslsls/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/papapapapa/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/klklklklklkl/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/papapa/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/mamamamama/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/alalalala/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/kgkgkggkkgkg/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/popopoopposs/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/dfdfdfdfdfdf/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/piojhiuoijhui/final[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/ioioioioi/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/pppppppp/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/llllllllll/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/favicon[.]ico

http[:]//morningstarlincoln[.]co[.]uk/site/ffff/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/temporal/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/mmmmm/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/lllllllll/klfinal[.]exe

http[:]//morningstarlincoln[.]co[.]uk/site/qqqqq/klfinal[.]exe

http[:]//adentity[.]com[[.]]mx/getdata[[.]]exe

http[:]//c1790736[.]ferozo[[.]]com/getdata2[[.]]exe

http://adentity[.]com[.]mx/getdata[.]exe

http://c1790736[.]ferozo[.]com/getdata2[.]exe

Direcciones y Puertos del C2

a0oi[.]cyou 107[.]172[.]39[.]4:9090

45[.]61[.]137[.]101:9090

104[.]207[.]145[.]29:9090

Mejores prácticas para personas físicas

Mejores prácticas para entidades financieras

  • Mantente al día. Asegúrate de que los equipos de cómputo, dispositivos móviles y aplicaciones se encuentren actualizados con los últimos parches y correcciones disponibles.
  • Mantente seguro. Valida que los equipos de cómputo y dispositivos móviles se encuentren protegidos ante virus informáticos (malware), y que la configuración del Sistema Operativo y aplicaciones sea segura.
  • Mantente informado. Asegúrate de que tus servicios financieros te notifiquen de cargos y movimientos, y mantén un control de los gastos y cambios realizados en el servicio bancario.
  • Si es sospechoso, es peligroso. Mantente alerta ante la llegada de contenidos no solicitados, así como de aquellos eventos anormales en el contexto personal y/o de negocio. Ciberdelincuentes continuamente alternan el canal de comunicación y/o medio para su estafar a sus víctimas haciéndolas que  entreguen información sensible.
    • Llamadas telefónicas
    • Mensajes de texto (SMS)
    • Correos electrónico
    • Navegación por internet
  • Verifica antes de actuar. En caso de sospecha de compromiso de cuenta, mantén la calma y valida movimientos directamente con la fuente del servicio financiero que tengas a tu disposición.
    • Último cargo reconocido
    • Último acceso exitoso
  • Protección adicional. La mayoría de las entidades financieras tiene a disposición mediante descarga herramientas de protección adicional, se recomienda el uso de estas, tomando en cuenta que no sustituyen un antivirus tradicional.
  • No almacenes información. Hoy en día es muy común ver en los equipos archivos de Excel, Word, Bloc de Notas con nombres muy evidentes como: “Contraseñas banca”, “Banca electrónica accesos”, etc. Esto facilita a atacantes la búsqueda de información sensible, sino te es posible memorizar estos datos, no los tengas a la vista y usa otros nombres para guardar dicha información.
  • Control de tu PC. Ningún programa bancario te quita el control total de tu computadora, si notas que ya no tienes el control de tu equipo como: abrir y cerrar ventas y archivos, apagarla o reiniciarla, cambiar de programa o alternar entre tareas es muy probable que alguien más este controlando tu computadora, no introduzcas información sensible.
  • Usa un solo equipo. Siempre usa un solo equipo para acceder a tus servicios bancarios, no accedas desde equipos que no conozcas o que son usados por varias personas, ya que estas pudieron haber descargado o instalado malware sin darse cuente, recuerda la computadora es personal.
  • Redes públicas. Si vas a entrar a tu portal bancario hazlo desde una red confiable, no utilices para este fin redes inalámbricas públicas y sin contraseña ya que esto puede comprometer tu información.
  • Comunicación continua y oportuna. Mantener una concientización agnóstica y continua en torno a las amenazas a la seguridad de la información, la higiene digital y los mecanismos para validación de cargos y movimientos.
  • Riesgo en contexto de la prevención de fraude. Considerar el monitoreo y seguimiento a eventos de riesgo representativos de las reglas de negocio, la identidad y la confianza del usuario en cada canal de banca.
  • Visibilidad 360° del riesgo. Perfilar el riesgo en las actividades de usuario considerando las actividades que este realiza en la totalidad de canales con los que interactúa.
  • Cambios y evolución del fraude. Evaluar la necesidad de aprender a partir de las actividades del usuario y el contexto del canal, producto y/o servicio, vs. aprendizaje basado en tiempo. Considerar capacidades en los motores que faciliten el reconocimiento de fraude, empleando aprendizaje supervisado y no supervisado.
  • Protección base de canales de banca digital. Estandarizar la detección y responder ante intrusiones dirigidas a las aplicaciones, la infraestructura, y/o la red de los canales de banca.
  • Asegurar las transacciones punto a punto. Identificar y monitorizar las transacciones de manera integral, cubriendo desde la solicitud del cliente, la ejecución y estado de aquellos procesos internos para responder a la necesidad del cliente, hasta el resultado final de la transacción resultante. Esto facilitará en gran medida la identificación y respuesta ante ataques que se producen al interior de la infraestructura de los canales de banca y/o por medio de abuso a los procesos internos.
  • Estrategia integral de Ciberseguridad y Prevención de Fraudes. Aprovecha las variables de negocio, ciberseguridad y prevención de fraudes para planear y mejorar los casos de protección para los canales de banca.