Cómo robar un banco y ser millonario (carding nivel Dios)

Este 2015 proliferaron los noticias acerca de fallas informáticas de gran envergadura, ciberguerra, leaks… ¿Qué sucederá antes del 31 de diciembre? Una de las cosas positivas que rescato es la iniciativa Let’s Encrypt, y la movida de Google y Mozilla de apostar por “un SSL en todas partes” y comenzar a bloquear sitios web que usan certificados SSL con cifrados poco robustos o derechamente ya no válidos.

En Chile, una de las cosas negativas que me gustaría destacar (o positivas, según el cristal con que se mira), es el atraco digital al Banco BCI: ni más ni menos que el robo de $1,000 millones de pesos, según informaron diversos medios de comunicación, en donde se vieron involucradas la SOFOFA, DHL y otras instituciones y compañías.

La cifra en miles y como acontecimiento, es comparable con el mega robo a una treintena de bancos en todo el mundo que fue desvelada por Kaspersky en febrero de 2015, en el que robaron USD $1,000 millones. Lo metodología no es comparable, porque estos crackers bancarios robaron los mil millones de dólares con ayuda de malware, una botnet bancaria creo; mientras que los chilenos tuvieron acceso irrestricto al banco.

En cierta oportunidad hablé acerca de vulnerabilidades en Banco Estado, las cuales fueron desmentidas por su departamento de informática, incluso tengo entendido se realizó un estudio de poca monta en base a mi artículo para proteger al banco y tratar de desacreditarme…

¿La motivación de estas personas de escribir por escribir está motivada en resguardar sus contactos para no quedar mal con el banco, a pesar luego de vomitar contradictoria y literalmente en contra de ellos? ¿Ego por el “yo no lo vi primero, por lo tanto usaré su artículo como base para uno propio”? ¿Falta de inteligencia?

¿Por qué en Chile hay instituciones bancarias que encubren sus faltas? Sea como sea, ¿por qué no demostrar, otra vez, que la seguridad bancaria en realidad no es como los departamentos de publicidad (y agencias) la endiosan y muestran, basados en las mentiras y la falta de profesionalismo de sus “SysAdmin” y todos los epítetos copiados del inglés?

Pasado, pisado

Para empezar, me gustaría repasar un poco de historia como ex miembro de grupos como Santuario de La Fiebre CCA & HackersChilenos, porque la cercanía que tuvimos de plataformas, accesos a cuentas bancarias y a fallas de estas entidades fue delicada y particularmente compleja. Claro, bajo la égida de una máscara digital todo esto es gracioso  y es una de las metas a la cuales quieres llegar para demostrar tus capacidades, pero no es gracioso.

Fue así como ingresé al Banco Industrial de Venezuela para dejarle un mensaje a Nicolás Maduro:

Banco Industrial de Venezuela-hacked
Banco Industrial de Venezuela

Hoy la cuenta de Twitter me pertenece (después de largos dimes y diretes con sus administradores), por lo que cada tweet figura ahora, a mi nombre.

De igual manera vulneré una de las aplicaciones web del Banco Financiero de Venezuela para dejar en 0,0 las tarifas de los préstamos de dicho banco. ¿Qué mejor que bajar los costos a cero de una entidad financiera?

Banco Financiero de Venezuela
Banco Financiero de Venezuela

Instituciones bancarias como la Asociación de Bancos de China me sirvieron incluso para enviar uno de los tantos mensajes a Andres Godoy (subcomisario Brigada del Cibercrimen de la PDI, a quien le bloqueé su cédula de identidad y permiso de conducir -otra historia, así que material para otro artículo creo-):

Asociacion de Bancos de China
Asociacion de Bancos de China

Todo tiene consecuencias: a Andrés Godoy no le gustaron mis mensajes.

¿El lado positivo? Jamás le robé un peso a nadie, pese a haber tenido la oportunidad.

Pero, ¿qué es lo ocurre hoy en día? ¿Es necesario que sucedan estas cosas ligadas al sabotaje para que un banco proceda a tener más precaución, seriedad y rigurosidad con el acceso a los datos personales y al mismísimo dinero de sus clientes? ¿Están esperando un desastre financiero o un “mega hack” para tomar medidas?

Últimamente me he topado con cosas que rayan en lo absurdo, por lo que las plasmaré acá, para luego notificar a las entidades bancarias correspondientes, con la finalidad de que dejen de exponer la seguridad de sus clientes y corrijan las fallas que expondré con suma reserva.

Google Dorks

Haciendo experimentos de búsquedas avanzadas con dorks en Google Imágenes (sí, es posible), advertí cosas bastantes interesantes, como el hecho de que es posible rastrear y filtrar URLs que en la búsqueda normal de Google no se muestran (path de upload de un CMS, por ejemplo). Fue así como por arte de magia aparecieron decenas de imágenes de sitios web asociadas a una simple pero crítica exposición de upload.

¿Qué creen ustedes? Entre ellas un banco de argentina: Banco de Tierra del Fuego.

Banco de Tierra del Fuego
Banco de Tierra del Fuego
Banco de Tierra del Fuego
Banco de Tierra del Fuego

¿De qué sirve un certificado SSL si Banco de Tierra del Fuego expone públicamente un upload que permite subir, editar y alterar por completo el contenido del sitio web y además abrir puertas para una debacle comercial causada por la toma de control total del servidor web?

Ojo, y no es problema de idiosincracia; en EEUU, bancos como City First Bank of DC, están en la misma lista:

City First Bank of DC
City First Bank of DC

Acá, nuevamente, vemos cómo el certificado SSL de City First Bank of DC no sirve absolutamente de nada. ¿Sigues pensando en que un certificado SSL protege tus datos y tu dinero? Esta exposición permite a un atacante modificar el sitio web y tomar el control del servidor web para robar tus datos y, tu dinero…

La ropa sucia se lava en casa

No mires la viga o paja en el ojo ajeno, dicen por ahí. ¿Y en Chile? Pues en Chile… Hay muchas fallas, críticas… Algunas no es posible comprobarlas porque implican eventuales SQLi, upload, bypass de formularios de acceso, y muchas cosas más, por lo que sólo es posible exponer cosas básicas y públicas que están indizadas en Google como XSS y que uno va guardando con el tiempo y casi las olvida (guardadas muchas veces ni siquiera en la computadora), aunque veremos a continuación que ésta vulnerabilidad o una de inyección de HTML, no son tan inofensivas como aparentan, ya que pueden transformarse en poderosas herramientas de carding para cibercriminales.

Banco Estado

Banco Estado
Banco Estado

Banco Chile

Banco de Chile
Banco de Chile

Banco Santander

Banco Santander
Banco Santander

Coscorrón y tirón de orejas, es poco

¿Qué sucedería si un cibercriminal encontrara esta información y la utilizara para inyectar formularios falsos, rutinas de javascript keylogger, iframes…? Cookie stealing es lo más básico que un cibercriminal podría hacer con Banco Estado, Banco Chile y Banco Santander. ¡Un atacante podría utilizar la página web oficial de cada banco para hacer phishing y carding, sin la necesidad de montar un sitio web falso!

Y en los casos de Banco de Tierra del FuegoCity First Bank of DC, un atacante podría modificar completamente los sitios web, los archivos legales, robar los datos de los clientes e incluso tratar de robar dinero directamente desde el servidor web…

Hasta acá hemos visto que no es necesaria una certificación CEH, ni OSSTMM para demostrar que un puñado de bancos vulneraran todos los días sus políticas de protección de los datos y seguridad informática respecto de los dineros y contratos de sus clientes; no es necesario ser “developer”, ni “SysAdmin”, ni “Security Researcher”, para exponer que las entidades financieras simplemente no son seguras.

Las cosas como son. Pongámonos serios.