jueves, 14 de enero de 2016

Phishing: pescando contraseñas en Internet


Las últimas noticias sobre ciberdelincuencia corroboran que para el año 2016 se espera un aumento de los fraudes por Internet, entre los que despuntarán los ataques de phishing y de ransomware que ya hemos tratado en una entrada anterior de este blog.

El phishing es un tipo de estafa informática que se desarrolla en varias etapas, apenas deja rastro y proporciona enormes beneficios. Consiste en obtener las claves de acceso a la banca on line de la víctima, empleando procedimientos de ingeniería social, para luego ordenar transferencias según el saldo disponible en la cuenta o vender en el mercado negro las contraseñas para que otros las utilicen.

Cuando hablamos de phishing, estamos hablando de grupos organizados de carácter internacional, cuyos miembros —los phishers— se reparten las diferentes tareas, especializándose cada uno en un «trabajo» concreto que va dirigido a «pescar» peces en el océano de Internet para obtener sus credenciales (nombre de usuario y contraseña) y saquear cuentas bancarias. Vamos a conocer sus fases con más detalle:

Imagen: noticia alertando sobre phishing en www.eleconomista.es

1. Primera fase: contraseñas al descubierto. Se realiza el phishing propiamente dicho, que consiste en obtener información confidencial de las víctimas, principalmente sus contraseñas de acceso a la banca on line o a otros sitios web que exigen verificación mediante usuario y contraseña.

Video Youtube: Los retos de la era Internet

El método más extendido es el envío masivo de correos electrónicos a modo de spam  que parecen proceder de un banco, una entidad financiera o un organismo oficial. En ese e-mail se explica que, por motivos de seguridad, mantenimiento, mejora en el servicio, confirmación de identidad o cualquier otra causa (el pago de un premio inexistente), el destinatario debe actualizar los datos de su cuenta bancaria.

Ejemplo de mail para phishing imitando Paypal con link malicioso

Para más info sobre las mil y una caras del phishing échale un vistazo a este artículo de la Oficina de Seguridad del Internatua (www.osi.es): 


El mensaje imita el diseño —formato, logotipo y firma— de la entidad para comunicarse con sus clientes. Si el usuario que recibe el spam es cliente de esa entidad bancaria, dispone de acceso a la banca on line y carece de unos mínimos conocimientos sobre cómo funcionan los fraudes en Internet, es fácil que muerda el anzuelo. En el mismo correo aparece un link a una página web a la que puede acceder directamente para verificar sus credenciales y solucionar el problema. Esta página es prácticamente igual que la de la entidad bancaria, lo que se ha conseguido copiando el código fuente de la web original.


La dirección URL también será similar —e incluso idéntica—, pues los ciberdelincuentes se han aprovechado de los fallos de algunos navegadores o bien han realizado técnicas como el homograph attack —también llamado IDN spoofing—, que es la utilización de caracteres de otro idioma con una misma apariencia. Por ejemplo, la letra «o» latina se escribe igual que la griega o la cirílica, pero representan sonidos diferentes.

Aunque la mayor parte de los ataques de phishing van dirigidos contra las entidades bancarias, pueden utilizar cualquier otra web como gancho para robar datos personales: Twitter, ebay, Facebook, PayPal, etc. En Internet todos los datos como nombres de usuario y contraseñas cotizan.

El proceso de captación de contraseñas puede iniciarse también con técnicas de hacking, para lo que utilizarán aplicaciones o programas informáticos diseñados para infectar nuestros dispositivos con conexión a Internet y espiar toda la información que por ellos circula.

Existen otras técnicas capaces de interceptar los datos que se introducen en la banca on line real, como el llamado Man in the middle, que consiste en insertar una especie de «intermediario» que puede leer y modificar las comunicaciones que se realizan entre la entidad financiera y el usuario sin que ni una ni otro lo sepan.

O programas tipo keyloggers, que capturan las pulsaciones del teclado y se apoderan del contenido que escribimos y, cómo no, de nuestras claves de acceso a la banca on line o a cualquier otro sitio web en el que debamos verificarnos.

Los troyanos son otro tipo de malware (software malicioso instalado en contra de la voluntad o sin el conocimiento del usuario del ordenador dañado) que permite la monitorización y el control remoto de otro ordenador infectado, llamado ordenador «zombi». Así, se construye toda una red de ordenadores zombis —botnets— para realizar actividades ilícitas. Los troyanos se difunden a través de páginas web, programas de intercambio de archivos, mensajería instantánea o correos electrónicos, y modifican la configuración del dispositivo electrónico de la victima para captar la información tecleada (como operaciones bancarias on line). Los troyanos residen de forma oculta y silenciosa en los ordenadores que logran infectar y se activan cuando el usuario visita determinadas páginas web, capturando las claves de acceso e incluso pantallas con el estado de las cuentas corrientes.

2. Segunda fase: captación de muleros. Una vez que disponen de las claves y contraseñas de acceso a las cuentas on line de las víctimas, los miembros de la organización necesitan colaboradores que abran cuentas bancarias a las que  realizar las transferencias.

Estos colaboradores (muleros) son captados mediante técnicas de scam, que suelen consistir en supuestas ofertas de trabajo enviadas a través del correo electrónico o de mensajería instantánea desde números desconocidos (mediante Whatsapp, Telegram, etc.).


Estos anuncios de trabajo ofrecen ganar dinero de forma fácil y rápida, pues solo debe disponer de acceso a Internet y tener conocimientos básicos sobre la utilización del correo electrónico y de espacios web (los correos enviados al intermediario, o mulero, suelen estar escritos en un castellano con bastantes errores gramaticales y ortográficos). En ocasiones, en el propio mensaje aparece un enlace a una página web de la presunta sociedad o empresa que ofrece el puesto de trabajo con el fin de proporcionar mayor credibilidad.

Si el receptor del mensaje responde al correo electrónico interesándose por la oferta, se establece una comunicación entre ambas partes mediante correspondencia electrónica, y en ella se definirán aspectos tales como el tipo de contrato y la operativa mercantil a desarrollar, que será la siguiente: cuando la supuesta empresa le avise, deberá abrir una cuenta bancaria en la entidad que le indiquen —si aún no la tiene abierta—. Como norma general, será en la misma entidad bancaria de la que han conseguido claves y contraseñas de acceso de diferentes usuarios ya que las transferencias se hacen efectivas en menos tiempo cuando se trata de cuentas de una misma entidad, y en esto del ciberdelito el tiempo siempre es dinero.

Posteriormente, el mulero deberá facilitar su número de cuenta, el código IBAN y sus propios códigos de acceso a la banca on line. Gracias a estos datos, los ciberdelincuentes dispondrán del medio necesario —una cuenta bancaria— para poder transferir el dinero desde la cuenta de la víctima a la del mulero. Después le comunicarán (generalmente por la tarde-noche o a primera hora de la mañana) que ya puede dirigirse a su banco a retirar el dinero de la transferencia que ha recibido; el titular de la cuenta beneficiaria se quedará con el tanto por ciento estipulado (entre un 5 y un 10 %) y enviará el resto al país —normalmente, del este de Europa— y a la persona que le indiquen mediante una agencia de envío de dinero.

En un día los muleros pueden ganar miles de euros sin tener que hacer prácticamente nada y sin, por supuesto, estar dados de alta en la Seguridad Social, lo que debería llevar a cualquiera a sospechar de la legalidad de esa actividad y, por tanto, a ponerlo en conocimiento de las autoridades.

La investigación se centrará principalmente en el seguimiento del dinero, por lo que el mulero tiene mucho más que perder que cualquier otro, ya que las transferencias ilícitas dirigidas a su cuenta bancaria dejarán un rastro que la Policía podrá seguir: nombre, apellidos, dirección, teléfono y el número de la cuenta beneficiaria de un fraude. El mulero puede estar cometiendo un delito de estafa —además de otro de blanqueo de capitales—, y todo está a su nombre y queda bajo su responsabilidad.

3. Tercera fase: acceder a las cuentas sin dejar rastro. El siguiente paso será ordenar las transferencias fraudulentas dejando el menor rastro posible. Para ello es necesario una conexión a Internet para acceder a los servidores de las entidades bancarias.

Para no ser identificados emplean diversos métodos, como el uso de máquinas comprometidas —los citados ordenadores zombis infectados por algún malware que permite un uso remoto—, servidores proxy —ordenadores que se conectan a Internet y abastecen de direcciones IP enmascaradas a los usuarios, lo que favorece el anonimato— o conexiones desde lugares públicos con acceso a Internet (cibercafés, bibliotecas, etc.), generalmente ajenos al grupo organizador del fraude y de la víctima.

How a botnet works by wikipedia 

Una vez dentro de la cuenta bancaria ajena, pueden realizar otras acciones, como solicitar préstamos on line, hacer recargas telefónicas o pagar facturas de terceros.

4. Cuarta fase: disponibilidad del dinero. El titular de la cuenta bancaria de destino de las transferencias deberá dirigirse a su banco y extraer el dinero. Es posible que, debido a la cantidad transferida, deba hacer el reintegro en ventanilla, pero en ocasiones lo obtienen a través de un cajero automático.

Cuando ya tiene el dinero en la mano, el mulero lo enviará, mediante alguna agencia de envío de dinero (MoneyGram, Wester Union, etc.), al lugar y a la persona que la organización haya facilitado previamente por correo electrónico o por teléfono. El mulero se quedará con el tanto por ciento acordado y enviará un último correo informando de que el importe restante ha sido enviado, junto con el código identificador de la transferencia, necesario para hacerla efectiva.

Web de agencia de envío con pasos sobre cómo recibir una transferencia.

En el último paso, otro colaborador de la organización se dirigirá a la agencia de envío de dinero de la ciudad y país de destino, y, tras identificarse como el titular de la transferencia y proporcionar el código identificador, la hará efectiva.

Cómo prevenir ser víctimas de pshishing:
·      Hay que tener en cuenta que los bancos no piden que verifiquemos nuestro nombre de usuario y contraseña por e-mail.
·      No acceder a páginas de entidades bancarias a través de enlaces recibidos por correo electrónico, es preferible buscar la web de forma directa.
·      Comprobar que la web del banco utiliza cifrados https.
·      No acceder a nuestra banca on line desde conexiones wi fi públicas que podrían estar comprometidas o espiadas.
·      Tener los antivirus y sistemas operativos actualizados para evitar en la mayor medida posible que seamos infectados por algún software espía o malicioso.
·   Desconfiar de ofertas de trabajo como mediador financiero o similar, a cambio de comisión, sin contratos, altas de seguridad social y donde todo es muy rápido y muy fácil, demasiado para ser realidad.

Más cosas sobre el phsihing:
Si quieres saber más sobre phishing te recomendamos el capítulo 1 de Mundo Hacker disponible en Youtube y que puedes ver a continuación:





No hay comentarios:

Publicar un comentario