Las últimas
noticias sobre ciberdelincuencia corroboran que para el año 2016 se espera un
aumento de los fraudes por Internet, entre los que despuntarán los ataques de
phishing y de ransomware que ya
hemos tratado en una entrada anterior de este blog.
El phishing
es un tipo de estafa informática que se desarrolla en varias etapas, apenas
deja rastro y proporciona enormes beneficios. Consiste en obtener las claves de
acceso a la banca on line de la víctima, empleando procedimientos de ingeniería social, para luego ordenar
transferencias según el saldo disponible en la cuenta o vender en el mercado
negro las contraseñas para que otros las utilicen.
Cuando
hablamos de phishing, estamos hablando de grupos organizados de carácter
internacional, cuyos miembros —los phishers— se reparten las diferentes
tareas, especializándose cada uno en un «trabajo» concreto que va dirigido a
«pescar» peces en el océano de Internet para obtener sus credenciales (nombre
de usuario y contraseña) y saquear cuentas bancarias. Vamos a conocer sus fases
con más detalle:
1. Primera fase: contraseñas al descubierto. Se realiza el phishing
propiamente dicho, que consiste en obtener información confidencial de las
víctimas, principalmente sus contraseñas de acceso a la banca on line o
a otros sitios web que exigen verificación mediante usuario y contraseña.
Video Youtube: Los retos de la era Internet
El método
más extendido es el envío masivo de correos electrónicos a modo de spam que parecen proceder de un banco, una entidad
financiera o un organismo oficial. En ese e-mail se explica que, por
motivos de seguridad, mantenimiento, mejora en el servicio, confirmación de
identidad o cualquier otra causa (el pago de un premio inexistente), el
destinatario debe actualizar los datos de su cuenta bancaria.
Ejemplo de mail para phishing imitando Paypal con link malicioso
Para más info sobre las mil y una caras del phishing échale un vistazo a este artículo de la Oficina de Seguridad del Internatua (www.osi.es):
El mensaje
imita el diseño —formato, logotipo y firma— de la entidad para comunicarse con
sus clientes. Si el usuario que recibe el spam es cliente de esa entidad
bancaria, dispone de acceso a la banca on line y carece de unos mínimos
conocimientos sobre cómo funcionan los fraudes en Internet, es fácil que muerda
el anzuelo. En el mismo correo aparece un link a una página web a la que puede acceder
directamente para verificar sus credenciales y solucionar el problema. Esta
página es prácticamente igual que la de la entidad bancaria, lo que se ha
conseguido copiando el código fuente de la web original.
La dirección
URL también
será similar —e incluso idéntica—, pues los ciberdelincuentes se han
aprovechado de los fallos de algunos navegadores o bien han realizado técnicas
como el homograph attack —también llamado IDN spoofing—, que es
la utilización de caracteres de otro idioma con una misma apariencia. Por
ejemplo, la letra «o» latina se escribe igual que la griega o la cirílica, pero
representan sonidos diferentes.
Aunque la
mayor parte de los ataques de phishing van dirigidos contra las
entidades bancarias, pueden utilizar cualquier otra web como gancho para robar
datos personales: Twitter, ebay, Facebook, PayPal, etc. En Internet todos los
datos como nombres de usuario y contraseñas cotizan.
El proceso
de captación de contraseñas puede iniciarse también con técnicas de hacking,
para lo que utilizarán aplicaciones o programas informáticos diseñados para
infectar nuestros dispositivos con conexión a Internet y espiar toda la
información que por ellos circula.
Existen otras
técnicas capaces de interceptar los datos que se introducen en la banca on
line real, como el llamado Man in the middle, que consiste en
insertar una especie de «intermediario» que puede leer y modificar las
comunicaciones que se realizan entre la entidad financiera y el usuario sin que
ni una ni otro lo sepan.
O programas
tipo keyloggers, que capturan las pulsaciones del teclado y se apoderan
del contenido que escribimos y, cómo no, de nuestras claves de acceso a la
banca on line o a cualquier otro sitio web en el que debamos
verificarnos.
Los troyanos
son otro tipo de malware (software malicioso instalado en contra de la
voluntad o sin el conocimiento del usuario del ordenador dañado) que permite la
monitorización y el control remoto de otro ordenador infectado, llamado
ordenador «zombi». Así, se construye toda una red de ordenadores zombis —botnets—
para realizar actividades ilícitas. Los troyanos se difunden a través de
páginas web, programas de intercambio de archivos, mensajería instantánea o
correos electrónicos, y modifican la configuración del dispositivo electrónico
de la victima para captar la información tecleada (como operaciones bancarias on
line). Los troyanos residen de forma oculta y silenciosa en los ordenadores
que logran infectar y se activan cuando el usuario visita determinadas páginas
web, capturando las claves de acceso e incluso pantallas con el estado de las
cuentas corrientes.
2. Segunda fase: captación de muleros.
Una vez que disponen de las claves y contraseñas de acceso a las cuentas on
line de las víctimas, los miembros de la organización necesitan
colaboradores que abran cuentas bancarias a las que realizar las transferencias.
Estos
colaboradores (muleros) son captados mediante técnicas de scam, que
suelen consistir en supuestas ofertas de trabajo enviadas a través del correo
electrónico o de mensajería instantánea desde números desconocidos (mediante Whatsapp,
Telegram, etc.).
Estos anuncios
de trabajo ofrecen ganar dinero de forma fácil y rápida, pues solo debe
disponer de acceso a Internet y tener conocimientos básicos sobre la
utilización del correo electrónico y de espacios web (los correos enviados al
intermediario, o mulero, suelen estar escritos en un castellano con bastantes
errores gramaticales y ortográficos). En ocasiones, en el propio mensaje
aparece un enlace a una página web de la presunta sociedad o empresa que ofrece
el puesto de trabajo con el fin de proporcionar mayor credibilidad.
Si el
receptor del mensaje responde al correo electrónico interesándose por la oferta,
se establece una comunicación entre ambas partes mediante correspondencia
electrónica, y en ella se definirán aspectos tales como el tipo de contrato y
la operativa mercantil a desarrollar, que será la siguiente: cuando la supuesta
empresa le avise, deberá abrir una cuenta bancaria en la entidad que le
indiquen —si aún no la tiene abierta—. Como norma general, será en la misma
entidad bancaria de la que han conseguido claves y contraseñas de acceso de
diferentes usuarios ya que las transferencias se hacen efectivas en menos
tiempo cuando se trata de cuentas de una misma entidad, y en esto del
ciberdelito el tiempo siempre es dinero.
Posteriormente,
el mulero deberá facilitar su número de cuenta, el código IBAN y sus propios
códigos de acceso a la banca on line. Gracias a estos datos, los
ciberdelincuentes dispondrán del medio necesario —una cuenta bancaria— para
poder transferir el dinero desde la cuenta de la víctima a la del mulero. Después
le comunicarán (generalmente por la tarde-noche o a primera hora de la mañana)
que ya puede dirigirse a su banco a retirar el dinero de la transferencia que
ha recibido; el titular de la cuenta beneficiaria se quedará con el tanto por
ciento estipulado (entre un 5 y un 10 %) y enviará el resto al país
—normalmente, del este de Europa— y a la persona que le indiquen mediante una
agencia de envío de dinero.
En un día
los muleros pueden ganar miles de euros sin tener que hacer prácticamente nada
y sin, por supuesto, estar dados de alta en la Seguridad Social, lo que debería
llevar a cualquiera a sospechar de la legalidad de esa actividad y, por tanto,
a ponerlo en conocimiento de las autoridades.
La
investigación se centrará principalmente en el seguimiento del dinero, por lo
que el mulero tiene mucho más que perder que cualquier otro, ya que las
transferencias ilícitas dirigidas a su cuenta bancaria dejarán un rastro que la
Policía podrá seguir: nombre, apellidos, dirección, teléfono y el número de la cuenta
beneficiaria de un fraude. El mulero puede estar cometiendo un delito de estafa
—además de otro de blanqueo de capitales—, y todo está a su nombre y queda bajo
su responsabilidad.
3. Tercera fase: acceder a las cuentas
sin dejar rastro. El siguiente paso será ordenar las transferencias fraudulentas
dejando el menor rastro posible. Para ello es necesario una conexión a Internet
para acceder a los servidores de las entidades bancarias.
Para no ser
identificados emplean diversos métodos, como el uso de máquinas comprometidas
—los citados ordenadores zombis infectados por algún malware que permite
un uso remoto—, servidores proxy —ordenadores que se conectan a Internet y
abastecen de direcciones IP enmascaradas a los usuarios, lo que favorece el
anonimato— o conexiones desde lugares públicos con acceso a Internet
(cibercafés, bibliotecas, etc.), generalmente ajenos al grupo organizador del
fraude y de la víctima.
How a botnet works by wikipedia
Una vez dentro de la cuenta bancaria ajena, pueden
realizar otras acciones, como solicitar préstamos on line, hacer recargas
telefónicas o pagar facturas de terceros.
4. Cuarta fase: disponibilidad del
dinero. El titular de la cuenta bancaria de destino de las transferencias
deberá dirigirse a su banco y extraer el dinero. Es posible que, debido a la
cantidad transferida, deba hacer el reintegro en ventanilla, pero en ocasiones
lo obtienen a través de un cajero automático.
Cuando ya
tiene el dinero en la mano, el mulero lo enviará, mediante alguna agencia de
envío de dinero (MoneyGram, Wester Union, etc.), al lugar y a la persona que la
organización haya facilitado previamente por correo electrónico o por teléfono.
El mulero se quedará con el tanto por ciento acordado y enviará un último
correo informando de que el importe restante ha sido enviado, junto con el
código identificador de la transferencia, necesario para hacerla efectiva.
Web de agencia de envío con pasos sobre cómo recibir una transferencia.
En el último
paso, otro colaborador de la organización se dirigirá a la agencia de envío de
dinero de la ciudad y país de destino, y, tras identificarse como el titular de
la transferencia y proporcionar el código identificador, la hará efectiva.
Cómo prevenir ser víctimas de pshishing:
·
Hay que
tener en cuenta que los bancos no piden que verifiquemos nuestro nombre de
usuario y contraseña por e-mail.
·
No
acceder a páginas de entidades bancarias a través de enlaces recibidos por
correo electrónico, es preferible buscar la web de forma directa.
·
Comprobar
que la web del banco utiliza cifrados https.
·
No
acceder a nuestra banca on line desde conexiones wi fi públicas que podrían
estar comprometidas o espiadas.
·
Tener
los antivirus y sistemas operativos actualizados para evitar en la mayor medida
posible que seamos infectados por algún software espía o malicioso.
· Desconfiar
de ofertas de trabajo como mediador financiero o similar, a cambio de comisión,
sin contratos, altas de seguridad social y donde todo es muy rápido y muy
fácil, demasiado para ser realidad.
No hay comentarios:
Publicar un comentario