Phishing: ¡Peligro online! (Parte 1)

El phishing es muy utilizado para cometer distintos tipos de fraudes y delitos. Si bien su uso data desde hace ya un tiempo, sus técnicas fueron evolucionando, haciendo que sea cada vez más difícil poder identificar estos engaños, causando así un sinfín de perjuicios a sus víctimas. El objetivo de este artículo es echar un poco de luz sobre este tema y concientizar así a los lectores.

¡No seas pescado!

Podemos definir al phishing como uno de los métodos comúnmente utilizados dentro de la Ingeniería Social, el cual tiene como objetivo engañar a las víctimas a través de la suplantación de identidad de una empresa o persona. El término hace referencia a “fishing” (pesca), porque –justamente- se trata de “pescar” víctimas digitales mediante diferentes métodos.

10 consejos para prevenir ataques

Hacemos un recorrido por diferentes acciones, actitudes y tácticas que podemos emplear para enfrentar el problema del phishing, gracias a un decálogo recomendado por Panda Security (www.pandasecurity.com).

1. Aprender a identificar los correos sospechosos. Existen algunos aspectos que, inequívocamente, identifican a los ataques de phishing a través de correo electrónico.

-Utilizan nombres y adoptan la imagen de empresas reales.

-Llevan como remitente el nombre de la empresa o el de un empleado real de la empresa.

-Incluyen webs que visualmente son iguales a las de empresas reales.

-Como gancho utilizan regalos o la pérdida de la propia cuenta existente.

2. Verificar con la fuente de información de los correos entrantes. Nuestro banco nunca nos pedirá que le enviemos claves o datos personales por correo. Nunca respondamos a este tipo de preguntas. Y si tenemos una mínima duda, debemos llamar directamente al banco para aclararlo.

3. Nunca entremos a la web de nuestro banco pulsando links incluidos en emails. No hagamos clic en los hipervínculos o enlaces que se adjunten en el correo, ya que de forma oculta nos podrían dirigir a una web fraudulenta. Escribamos directamente la dirección URL en el navegador o utilicemos marcadores/favoritos si queremos ir más rápido.

4. Reforzar la seguridad de la computadora. El sentido común y la prudencia son tan indispensables como mantener nuestro equipo protegido con un buen antivirus que bloquee este tipo de ataques. Además, siempre debemos tener actualizado nuestro sistema operativo y navegadores web.

5. Introduzcamos nuestros datos confidenciales únicamente en webs seguras. Las webs “seguras” han de empezar por https:// y debe aparecer en nuestro navegador el icono de un pequeño candado cerrado.

6. Revisar nuestras cuentas. Nunca está de más revisar nuestras cuentas bancarias de forma periódica, para estar al tanto de cualquier irregularidad en las transacciones online.

7. No solo ataca la banca online. La mayor parte de ataques de phishing van contra entidades bancarias, pero en realidad pueden utilizar cualquier otra web popular del momento como gancho para robar datos personales: Ebay, Facebook, PayPal, etc.

8. El phishing sabe idiomas. El phishing no conoce fronteras y pueden llegarnos ataques en cualquier idioma. Por norma general están mal escritos o traducidos, así que este puede ser otro indicador de que algo no va bien. Si nunca entramos a la web en inglés de nuestro banco, ¿por qué ahora debe llegarte un comunicado suyo en este idioma?

9. Ser prudente y no arriesgarse. La mejor forma de acertar siempre es rechazar de forma sistemática cualquier correo electrónico o comunicado que incida en que facilitemos datos confidenciales. Eliminemos este tipo de correos y llamemos a nuestra entidad bancaria para aclarar cualquier duda.

10. Informarse sobre malware. Mantenernos al día sobre los últimos ataques de malware y consejos para evitar cualquier peligro en la red.

El delito y los objetivos

Uno de los medios más utilizados para contactar a las víctimas es el mail. De esta manera se busca engañarlas para que estas crean que están siendo contactadas por una persona o empresa verdadera. Por ejemplo “su banco”, pero en realidad las personas estarán en contacto con el ciberdelincuente. Éste, a través de distintas artimañas, buscará obtener claves de acceso, datos personales, datos de tarjetas de créditos, etc.

Si bien la mayor parte de los objetivos son usuarios de bancos, redes sociales o cuentas de mail, existen otros tipos de phishing donde se juega con los sentimientos y la avaricia, entre otras cosas.

Un caso típico es el del “Príncipe” o “Princesa” de África a quien se le han muerto sus padres, dejándole una herencia millonaria. Pero debido a restricciones de su país este personaje no puede hacerse con el dinero y es allí donde nos solicitan nuestra “ayuda”… y comienza la estafa.

Para poder graficarlo mejor nos gustaría compartir dos casos que hemos estudiado.

Caso 1

El Banco de Chile

figura 1No hace mucho tiempo nos llegó un correo proveniente del “Banco de Chile”, donde nos sugerían mantener la “seguridad” de nuestros datos ingresando al home banking. Para ello se nos ofrecía un link, el cual nos llevaría al sitio “sin escalas”. Una vez allí deberíamos ingresar nuestro usuario y contraseña y luego los datos que nuestro “digipass” (token) nos arrojara. Este mail nos llamó la atención por dos cuestiones: por un lado no teníamos cuenta en ese banco. Por otro, el mail llegó correctamente a nuestra bandeja de entrada y no a la de spam, como suele suceder en estos casos. Entonces decidimos estudiarlo. Aquí veremos los detalles.

Dominio emisor

Una de las primeras tareas fue investigar cómo un mail de este tipo entró sin problemas a nuestra bandeja de entrada. Para ello chequeamos el dominio del emisor y nos encontramos con que el mail había sido enviado desde una empresa irlandesa, la cual poseía en ese momento una vulnerabilidad en su servidor de correo. Esto había sido aprovechado por el ciberdelincuente para tomar control y así enviar mails desde un dominio válido.

Link al sitio del falso Banco

Figura 2Verificamos el destino del link donde se nos invitaba a hacer clic. Pudimos observar que nos dirigía a un sitio de otra empresa, más precisamente a un archivo con el nombre xx.php, el cual casi de inmediato nos llevaba a otro dominio en donde se encontraba alojado el sitio falso.

Generalmente los ciberdelincuentes vulneran distintos sitios webs antes de comenzar con su campaña de phishing, para poder alojar allí los sitios falsos y de esta manera dificultar la tarea de identificarlos en caso que se inicie una investigación. Pero al parecer este no era el caso, ya que como detallamos anteriormente el primer dominio donde apuntaba el link no contenía el sitio en falso en sí, sino solo un archivo que nos llevaría a otro dominio.

Fue así que decidimos visitar el primer sitio (donde se encontraba alojado el archivo en cuestión) y pudimos comprobar que había sido vulnerado aprovechando para ello la existencia de un plugin de WordPress llamado MailPoet (wysija-newsletter). Este plugin se encontraba desactualizado y gracias a esto el ciberdelincuente había podido alojar allí su archivo.

Una vez aclarado lo anterior procedimos a visitar el segundo sitio donde sí se encontraba alojado el sitio del falso banco bajo el subdominio “bancodechile”. Pensando que se trataba de otro sitio vulnerado visitamos el dominio y nos encontramos con la sorpresa que no existía ninguna página activa en él. Esto nos indicaba que era muy probable que este dominio hubiera sido adquirido por el ciberdelincuente. Esta actividad no es muy habitual en este tipo de ataques, ya que para poder registrar un dominio generalmente se requieren distintos tipos de datos, como también abonar con algún medio de pago desde el cual se pueden llegar a obtener datos del registrante.

Revisamos a nombre de quién se encontraba registrado el dominio para poder saber si realmente era como suponíamos. Resultó que eran datos falsos y la empresa registrante otorgaba dominios casi sin requisitos.

Reacción inmediata del hosting

Algo positivo en todo esto fue que en muy pocas horas el sitio dejó de estar activo, ya que debido a distintas denuncias el hosting que lo alojaba procedió a suspenderlo de forma inmediata y luego a eliminarlo.

Caso 2

La Mujer Sola

figura 3En el spam de una cuenta de correo vimos el mensaje de mujer francesa de 70 años de edad, llamada Marie. Ella nos comentaba que padecía una enfermedad terminal y había decidido donar una suma importante de dinero para realizar beneficencia, pero al no tener familia a quien dejarle esa tarea, nos había seleccionado a nosotros.

A investigar

Pusimos manos a la obra contestándole desde una cuenta de mail con un perfil ficticio que recién habíamos creado.

Ella nos comentó que nos había elegido tras haber realizado investigaciones en Internet y parecerle que éramos buenas personas (recordemos que nuestro perfil no tenía más de 24 horas). A esto le agregaba una copia de su pasaporte para que pudiéramos comprobar que realmente no se trataba de un engaño. Inmediatamente le contestamos poniéndonos a disposición. Horas después nos indicaba que a partir de ese momento deberíamos tratar con su notario para realizar el acto de donación.

El notario iba a necesitar de nosotros distintos datos y una copia de nuestro documento o pasaporte. Le contestamos que no solíamos enviar la copia de nuestro documento debido a un problema que habíamos tenido anteriormente. Pero que no teníamos problema con el resto de los datos y que quizás le servía nuestro acceso a algo llamado Home Banking, que no sabíamos cómo se usaba (contra Ingeniería Social).

El notario acusó recibo de toda la documentación (parece que no hizo falta el pasaporte), adjuntando un Acto de Donación para que firmemos y se la enviemos. Ya con este paso cumplido y el envío de 95 Euros en concepto de honorarios y distintos gastos se nos giraría el dinero.

Si bien ya se habrán dado cuenta por donde venía el engaño, repasemos algunos puntos importantes.

figura 4Cuando recibimos la copia del pasaporte comprobamos si el archivo no contenía algún tipo de malware. Una vez realizado este paso y ya estando seguros que era un archivo “inofensivo” procedimos a realizar una búsqueda por imágenes en Google. Así encontramos un pasaporte de idénticas características pero con otro nombre y apellido.

Acto de Donación

figura 5Cuando el “Notario” nos confirmó que estaba todo listo para realizar la transferencia nos adjuntó un archivo PDF con el título “Acto de Donación”, donde podíamos leer claramente cada detalle de la donación que nos estarían por realizar. Como primera medida y tal como lo hicimos con la copia del pasaporte, procedimos a verificar que el archivo no contuviera malware. Una vez seguros de esto pudimos apreciar que la firma de la Sra. Marie había sido copiada y cortada del pasaporte.

Transferencia a través de Western Union

Al pie del mail que contenía el Acto de Donación se nos solicitó dinero (95 Euros) en concepto de honorarios del Secretario, gastos de legalización del Acto de Donación, etc. Este detalle no hubiera levantado tantas sospechas sino no nos hubieran pedido que usemos los servicios de Western Union para realizar este pago. Lo interesante es que el pago debía hacerse a nombre del “contable de su gabinete”, quien seguramente era otra víctima a la cual se la estaba engañando para que hiciese de intermediario y así los delincuentes poder hacerse del efectivo sin dejar registros de sus datos.

Para leer la parte 2 haga clic aquí.

Fuente: Revista Users – www.redusers.com

Deja un comentario