lunes, 20 de febrero de 2017

Kit de Phishing avanzado: robos de calidad al alcance de todos

Kit de Phishing avanzado: robos de calidad al alcance de todos


En el ámbito de la tecnología, mucho se habla acerca de no reinventar la rueda. Cuando algo anda bien, es mejor reutilizarlo que construir uno propio desde cero. De esta manera, el esfuerzo se minimiza y los recursos extras pueden utilizarse para otro fin, como mejorar la rueda.

El ámbito del cibercrimen no es ajeno a este principio y lo que esto implica no es, por supuesto, nada agradable. Que un delincuente tenga la habilidad de desarrollar una herramienta para robar información confidencial ya es lo suficientemente malo.

Que esta herramienta pueda estar a disposición de cualquier delincuente que desee utilizarla, es peor aún. Si a esto se suma que la herramienta sea de fácil uso, brinde resultados de calidad y apunte a una capa que el software y hardware de seguridad no protegen, quizá el lector sienta un impulso de cerrar la pestaña en que abrió este post y seguir tranquilo con su día sin sumar una nueva preocupación a su vida.

Si no es así, entonces les presento al:

Súper Kit de Phishing

Así me presentó mi colega este descubrimiento de los investigadores de Proofpoint, y la denominación no estaba para nada lejos de la realidad. Estamos frente a una herramienta para administrar campañas de Phishing realmente sofisticadas, la cual analizaremos desde dos puntos de vista diferentes. En primer lugar, veremos a qué se enfrenta una persona cuando es víctima de un Phishing lanzado con esta herramienta. En segundo lugar, veremos la herramienta en sí, desde el punto de vista del delincuente.

 

El lado de la Víctima

Los ataques de Phishing (a diferencia de los de Spear Phishing) tienen como objetivo un público masivo. Esta herramienta en particular está orientada a usuarios de PayPal, y llevará a la víctima a la siguiente pantalla de login, luego de haber conseguido que haga clic en el enlace de un correo de Phishing:


Hasta aquí no vemos nada nuevo. Salvo cuando se intentan ingresar unas credenciales inválidas de PayPal en dicha pantalla:
Desde el servidor se nos responde que nuestras credenciales son inválidas. ¡WTF!

Las trampas de phishing suelen aceptar cualquier dato que las personas ingresen, pero esta va más allá: Verifica que el email (no así la contraseña) corresponda a una cuenta legítima utilizando un servicio de Paypal, el cual permite comprar una tarjeta de regalo para un usuario.

Con esto, el Kit de Phishing logra reducir el número de credenciales inválidas recolectadas por su campaña de phishing, a la vez que le da mayor credibilidad a su falsa página de Login.

Y esto recién comienza.

Si se introducen unas credenciales válidas, el Kit de Phishing no se conformará con hacerse con las mismas, sino que instará a la víctima a verificar la seguridad de su cuenta, en la segunda pantalla de esta trampa de Phishing.


Dicha verificación, comenzará solicitando a la víctima los datos de su tarjeta de crédito asociada con su cuenta de PayPal.



El número de la tarjeta de crédito será validado contra el Algoritmo de Luhn para verificar que sea un número válido de tarjeta de crédito y luego se obtendrá la siguiente información extra desde esta herramienta:
  • Nombre del banco
  • Sitio web del banco
  • Número telefónico del banco
  • País del banco
  • Tipo de tarjeta de crédito
Una vez que el número de la tarjeta de crédito ha sido validado, la víctima será llevada al cuarto paso de la trampa, el cual intentará conseguir información de seguridad acerca de su tarjeta de crédito:

 

Si piensas que luego de esto, este Kit de Phishing ya no puede ser más ambicioso, descubrirás que te equivocas.

El paso siguiente ofrece a la víctima conectar su cuenta de PayPal con la cuenta de su banco, el cual puede seleccionar desde una lista de confiables logos bancarios:


Una vez seleccionado un banco, la próxima pantalla solicitará el correspondiente usuario y contraseña del mismo:

Finalmente, como último paso, se solicitará a la víctima confirmar su identidad, para lo cual se le permitirá subir un documento, como ser un escaneo de su licencia de conducir:



Hecho esto, la víctima llegará al final de esta Súper Trampa de Phishing, donde se le informará que la verificación ha sido exitosa y se la llevará hacia la página principal legítima de PayPal:


La vista del Delincuente

Ahora que ya vimos de qué es capaz este Kit, es hora de conocerlo más de cerca. Como podemos ver en la siguiente imagen, el Kit ofrece un panel de administración desde el cual el delincuente puede administrar sus campañas de phishing desde diferentes vistas:

De esta manera, posee acceso fácil y rápido a, por ejemplo, la información de cada persona que llega a la trampa de phishing:


O a las credenciales robadas en cada paso del Phishing:


También puede por supuesto configurar cómodamente toda la campaña de Phishing, teniendo la opción de quitar o agregar pasos a la trampa en forma simple e intuitiva. Se destaca entre las opciones la posibilidad de incluir la página de Selfie, la cual, a través de Flash, interactúa con la cámara web de la víctima para tomar una selfie de la misma.


Todo esto y más está al alcance de cualquier delincuente, listo para utilizar, sin tener que desarrollar una sola línea de código.

Para el atacante, lanzar una campaña de phishing completa y sofisticada sólo lleva algunos clics. Todo el “trabajo sucio” lo realiza el Kit de Phishing. Esto demuestra que los delincuentes poseen barreras cada vez más pequeñas para poder llevar a cabo ciberdelitos de mayor calidad y con alta tasa de éxito.

La tendencia de este tipo de ataques en calidad y cantidad es creciente, ya que este tipo de Kits no se reinventan, sino que se van mejorando y evolucionan hacia productos cada vez más complejos y efectivos, accesibles para cualquier persona que sepa dónde buscar.

Sólo para valientes

Si aún no cerraste el post en busca de una noticia mejor, voy a decirte cómo enfrentar esta amenaza.

Los delincuentes eligen este tipo de ataques ya que apuntan directo a la falta de conciencia y entrenamiento de las personas. De esta manera, pasan por arriba de cualquier software o hardware de seguridad, ya que es la misma persona quien brinda toda la información, víctima de un engaño bien pensado, diseñado en detalle, customizable, fácil de usar y reutilizable por cualquier delincuente interesado.

Si las personas están entrenadas correctamente, no serán vulnerables a este tipo de engaños, y los delincuentes no podrán conseguir su objetivo. ¡Incluye a las personas en tu estrategia de seguridad!
Leer Más

lunes, 13 de febrero de 2017

Security Awareness según la ISO/IEC 27001:2013

Security Awareness según la ISO/IEC 27001:2013



Para aquellos que se preguntan si la norma ISO/IEC 27001:2013 incluye requisitos de capacitación o concientización en seguridad informática, la respuesta es sí, vamos a encontrar que está mencionada en el propio cuerpo de la norma como requisito y en el Anexo A, por lo que también es un control de la ISO/IEC 27002:2013. Según éstas es necesario no sólo llevar adelante un programa de capacitación y concientización sino también contar con un registro que lo evidencie.

Recordemos que la norma certificable de la familia 27000 es la ISO/IEC 27001:2013 (Information technology - Security techniques - Information security management systems - Requirements) y que ISO/IEC 27002:2013 (Information technology - Security techniques - Code of practice for information security management) es una guía de buenas prácticas, por lo que todo lo indicado en ella “no son requisitos” sino “sugerencias” para la implementación de los controles del Anexo A de la norma certificable.

El anexo A de ISO/IEC 27001 ofrece una lista bastante exhaustiva de controles que se toman como una especie de checklist en el 6.1.1 Tratamiento de Riesgos de Seguridad de la información, y su aplicabilidad dependerá de los riesgos a los que se halla expuesta la información, por lo que algunos controles pueden ser excluibles del alcance del SGSI (Sistema de Gestión de Seguridad de la Información) a través del SOA (Statement Of Aceptability).

Para el caso del requerimiento que nos convoca, “capacitación y concientización” podemos verlo incluido en ambas normas:
  • ISO/IEC 27001:2013:
    • 7.2 Competencia/Competence
    • 7.3 Concientización/Awareness
  • ISO/IEC 27002:2013:
    • 7.2.2 - Concientización, educación y entrenamiento en seguridad de la información / Information security awareness, education and training.
Veamos qué nos dicen los requisitos de cada una de ellas.

ISO/IEC 27001:2013

7.2 Competencia / Competence

La organización deberá:
A) determinar la competencia necesaria de la(s) persona(s) que realiza(n) un trabajo bajo su control que afecte su desempeño en materia de seguridad de la información;
B) asegurar que estas personas sean competentes en base a una educación, capacitación o experiencia apropiada;
C) cuando sea aplicable, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las acciones emprendidas; y
D) conservar la información documentada apropiada como prueba de su competencia.
NOTA: Las acciones aplicables pueden incluir, por ejemplo: la provisión de capacitación, la mentoría o la reasignación de empleados actuales; o la contratación de personas competentes.

7.3 Concientización/Awareness

Las personas que trabajan bajo el control de la organización deben tener en cuenta:
A) la política de seguridad de la información;
B) su contribución a la eficacia del sistema de gestión de la seguridad de la información, incluidos los beneficios de mejorar el desempeño de la seguridad de la información; y
C) las consecuencias de no cumplir con los requisitos del sistema de gestión de la seguridad de la información.

ISO/IEC 27002:2013

7.2.2 - Concientización, educación y entrenamiento en seguridad de la información / Information security awareness, education and training:

Siendo algunos de los puntos más relevantes de la guía
  • Debería establecerse un programa de capacitación y concientización,
  • el mismo debería incluir una serie de actividades de sensibilización,
  • puede utilizar diferentes medios de comunicación, incluyendo aulas presenciales, a distancia, web-based, a su propio ritmo y otros,
  • debe actualizarse el contenido periódicamente y debe basarse en las lecciones aprendidas de los incidentes de seguridad de la información,
  • las actividades del programa deben programarse con el tiempo, preferentemente con regularidad, de modo que las actividades se repitan y cubran a los nuevos empleados
  • todo esto también debe alcanzar a los contratistas.
Mientras aprovecha la guía mencionar sobre la importancia de lograr y medir la asimilación y el cambio de comportamiento:
  • Al componer un programa de concienciación, es importante no sólo centrarse en el "qué" y "cómo", sino también en el "por qué". Es importante que los empleados comprendan el objetivo de la seguridad de la información y el impacto potencial, positivo y negativo, en la organización de su propio comportamiento.
  • Una evaluación de la comprensión de los empleados podría llevarse a cabo al final de un curso de sensibilización, educación y capacitación para probar la transferencia de conocimiento.

Es necesario para certificar

Basados en que es un requisito de ISO/IEC 27001 y que las empresas trabajan con personas que necesitan ser concientizadas y capacitadas, lo que hace del control de ISO/IEC 27002 un requisito poco factible de excluir, podemos entonces concluir que la capacitación y concientización en seguridad informática a los usuarios es un requisito para poder certificar. Según los “debe” de la norma certificable, es necesario no sólo llevar adelante estas capacitaciones sino también llevar un registro de las acciones tomadas por el personal de la organización y evaluar la eficacia de las acciones tomadas.

En próximas entregas veremos cómo también son requisitos de PCI DSS, COBIT, Comunicación "A" 5374 de BCRA (Banco Central de la República Argentina) y las exigencias de la DNDPDP (Dirección Nacional de Protección Nacional de Datos Personales de la República Argentina). Además, demostraremos cómo, con SmartFense, se puede dar cumplimiento a todos estos requisitos, satisfaciendo tanto las acciones como los registros necesarios.
Leer Más