Alguna vez, jugueteando con algún keylogger para hacer alguna trapería a algún amigo, me di cuenta del potencial que tiene este tipo de aplicaciones. En cierto modo se pueden considerar más peligrosos que algunos virus, ya que los keyloggers registran todo lo que tecleas, permitiendo al “atacante” registrarlo todo, como las urls a las que te conectas, las búsquedas de google o peor aún, las credenciales con las que accedes a tus cuentas de correo, cuentas bancarías,… ¡¡Qué mal rollo!! Pues la verdad es que sí, y no solo eso, ya que además tienen distintas capacidades adicionales cómo capturar la pantalla del usuario o técnicas de click-jacking que permiten espiar donde muchos pensábamos que no se llegaba. Esto permitiría al keylogger recoger todos los elementos necesarios para permitir a un atacante averiguar tus credenciales.
Nos ponemos en el caso de un usuario que va a acceder a su cuenta bancaría para realizar una consulta del saldo de la misma y, sin que él se percate, tiene un keylogger ejecutándose en segundo plano en su PC.
Podemos pensar que con las medidas de seguridad presentes en la mayoría de las páginas de los bancos estamos seguros ante este tipo de de malware, pero nos equivocamos. Vemos que el usuario escribe su DNI que es el identificador de la cuenta y la clave (no visible en pantalla) en base a una correspondencia aleatoria de caracteres con números:
La imagen anterior es lo que ve el usuario y ahora vamos a ver qué es lo que registra el keylogger:
El keylogger ha registrado nuestro DNI y las letras introducidas para escribir nuestra contraseña, pero como la relación entre números y letras es aleatoria es casi imposible que si un atacante intenta acceder a esta cuenta con estos datos puede acceder.
¿Entonces las medidas de seguridad aplicadas por nuestro banco han funcionado? La respuesta lamentablemente es NO. ¿Por qué? Pues porque además de recoger lo que introducimos por teclado es capaz de realizar capturas de pantalla. ¿Y qué más da? Pues mucho, ya que con las letras registradas más la captura de pantalla realizada en ese momento tenemos la tabla que nos dará la relación entre los números y las letras que ha utilizado el usuario.
De esa captura de pantalla obtenemos la siguiente tabla:
Si vemos la correspondencia de las letras “WNER” comprobamos que la contraseña es 1357, que sumando a el identificador que era registrado perfectamente por el keylogger tenemos que el DNI es 10000000 y la password 1357, por lo que el atacante ya tiene acceso a la cuenta.
¿Y qué podemos hacer para evitar esto? En principio nuestro antivirus tiene que ser capaz de detectar este tipo de troyanos y eliminarlos. Pero si no lo hace estamos ante un gran problema. Por lo que desde aquí os recomendamos el uso de un programita capaz de haceros la vida un poquito más segura, KeyScrambler. Este programa cifra todo lo que introducimos a través de nuestro teclado por lo que las pulsaciones capturadas por los keylogger no valdrán para nada, ya que es texto cifrado sin sentido.
Este programa es capaz de encriptar las pulsaciones desde el Kernel, descifrando esa información solo en la aplicación original o destino. Cualquier otro software que se encuentre en el sistema operativo y que quiera acceder a las pulsaciones solo podrá ver el texto cifrado.
Existen tres versiones de este software, la personal que es gratuita y solo cifra lo introducido en IE ,Firefox y Flock, y la Premium y profesional que son de pago y que llegan a cifrar todo lo introducido desde el teclado.
Si en el ejemplo anterior el usuario hubiera tenido instalado este programa, lo que hubiera registrado el keylogger es lo siguiente:
Esta información no tiene que ver nada ni con el DNI introducido ni con la correspondencia entre número y letras de la contraseña. Es imposible que el atacante con esta información pueda obtener ni nuestro DNI ni nuestra contraseña.
Por lo que desde Hackplayers te recomendamos el uso de este programa que, en su versión gratuita, ya es capaz de librarnos de gran cantidad de problemas. Además existe el plugin de KeyScrambler para instalarlo en nuestro navegador... ¡pruebaló, merece la pena!
Nos ponemos en el caso de un usuario que va a acceder a su cuenta bancaría para realizar una consulta del saldo de la misma y, sin que él se percate, tiene un keylogger ejecutándose en segundo plano en su PC.
Podemos pensar que con las medidas de seguridad presentes en la mayoría de las páginas de los bancos estamos seguros ante este tipo de de malware, pero nos equivocamos. Vemos que el usuario escribe su DNI que es el identificador de la cuenta y la clave (no visible en pantalla) en base a una correspondencia aleatoria de caracteres con números:
La imagen anterior es lo que ve el usuario y ahora vamos a ver qué es lo que registra el keylogger:
El keylogger ha registrado nuestro DNI y las letras introducidas para escribir nuestra contraseña, pero como la relación entre números y letras es aleatoria es casi imposible que si un atacante intenta acceder a esta cuenta con estos datos puede acceder.
¿Entonces las medidas de seguridad aplicadas por nuestro banco han funcionado? La respuesta lamentablemente es NO. ¿Por qué? Pues porque además de recoger lo que introducimos por teclado es capaz de realizar capturas de pantalla. ¿Y qué más da? Pues mucho, ya que con las letras registradas más la captura de pantalla realizada en ese momento tenemos la tabla que nos dará la relación entre los números y las letras que ha utilizado el usuario.
De esa captura de pantalla obtenemos la siguiente tabla:
Si vemos la correspondencia de las letras “WNER” comprobamos que la contraseña es 1357, que sumando a el identificador que era registrado perfectamente por el keylogger tenemos que el DNI es 10000000 y la password 1357, por lo que el atacante ya tiene acceso a la cuenta.
¿Y qué podemos hacer para evitar esto? En principio nuestro antivirus tiene que ser capaz de detectar este tipo de troyanos y eliminarlos. Pero si no lo hace estamos ante un gran problema. Por lo que desde aquí os recomendamos el uso de un programita capaz de haceros la vida un poquito más segura, KeyScrambler. Este programa cifra todo lo que introducimos a través de nuestro teclado por lo que las pulsaciones capturadas por los keylogger no valdrán para nada, ya que es texto cifrado sin sentido.
Este programa es capaz de encriptar las pulsaciones desde el Kernel, descifrando esa información solo en la aplicación original o destino. Cualquier otro software que se encuentre en el sistema operativo y que quiera acceder a las pulsaciones solo podrá ver el texto cifrado.
Existen tres versiones de este software, la personal que es gratuita y solo cifra lo introducido en IE ,Firefox y Flock, y la Premium y profesional que son de pago y que llegan a cifrar todo lo introducido desde el teclado.
Si en el ejemplo anterior el usuario hubiera tenido instalado este programa, lo que hubiera registrado el keylogger es lo siguiente:
Esta información no tiene que ver nada ni con el DNI introducido ni con la correspondencia entre número y letras de la contraseña. Es imposible que el atacante con esta información pueda obtener ni nuestro DNI ni nuestra contraseña.
Por lo que desde Hackplayers te recomendamos el uso de este programa que, en su versión gratuita, ya es capaz de librarnos de gran cantidad de problemas. Además existe el plugin de KeyScrambler para instalarlo en nuestro navegador... ¡pruebaló, merece la pena!
Muy interesante, otra opción como tu me comentaste es en los sitios que sea posible utilizar el dni electrónico
ResponderEliminarAll the results of the monitoring will be sent to your email. Besides, this software is available with a rich language pack, have a glance to read more information.
ResponderEliminar