El pasado mes de junio, recibimos un caso real de Malware bancario en Uruguay.
Dicha investigación fue llevada a cabo a raíz de una notificación por parte de un cliente de la firma, quién había sufrido un incidente cibernético.
Este incidente se habría desencadenado por la interacción con un correo electrónico, que fue reenviado por alguien de confianza.
Según nuestro análisis, el correo en cuestión debió lucir como este:
¿Qué acciones correctivas y recomendaciones son necesarias?
En base a toda nuestra investigación, resumimos la causa del incidente en el siguiente diagrama de flujo:
Luego, en base a esto podemos listar algunas acciones que - de aplicarlas - mejorarán su postura de ciberseguridad, y por tanto mitigarán la posibilidad de que incidentes como este se vuelvan a repetir:
- Observar con detenimiento el origen de los correos:
A través del nombre de usuario (parte anterior al símbolo @), usted podría inferir si el emisor de un e-mail luce como alguien de su confianza o no. De igual manera, observando el servidor de correo (parte posterior al símbolo @) usted podría verificar la presencia de elementos sospechosos, como por ejemplo, dominios países que no se corresponden con quien dice ser el emisor, o caracteres aleatorios que no forman ninguna palabra conocida para usted.
- Verificar la coherencia del mensaje:
Si en el mensaje se le indica abrir un archivo adjunto, busque los elementos en la sección de “archivos adjuntos” de su aplicación de correo. Nunca cliquee en enlaces que dicen ser el archivo en cuestión.
- Comprobar la integridad de los archivos adjuntos:
Tenga especial atención con los archivos terminados en “.exe”, ya que este es el tipo de archivo correspondiente a los programas ejecutables de Microsoft Windows. En particular, esta es una terminación frecuente en los programas maliciosos que atacan a estos sistemas. Un documento de texto, una hoja de cálculo o una presentación de diapositivas, jamás deberían tener esta terminación.
- Trasladar correos fraudulentos a la carpeta de spam:
Una vez que usted detecta que ha recibido un correo electrónico con información falsa, mueva el mismo a la carpeta de spam, en lugar de limitarse a eliminarlo. Esto provocará que su aplicación de correo agregue el remitente malicioso a una “lista negra” interna, para así no volver a mostrarle mensajes provenientes de él.
- Instalar un antivirus en los equipos de trabajo, y mantener su software actualizado:
Siempre que adquiera un equipo para su organización, tenga la consideración de activar el sistema operativo (si esto le es requerido), descargar las actualizaciones disponibles, y -fundamentalmente- instalar un software antivirus. Datasec puede apoyar en estas tareas a través de sus servicios de remediación.
Este es un caso de impacto crítico que dejó en evidencia la necesidad de conocer los riesgos, mantenerse actualizado y reducir al máximo las probabilidades de estafas por internet.
Para ver cómo se determinó la presencia del malware, así como la verificación de acceso y propagación, puedes acceder al caso completo ► Click aquí
