lunes, 20 de febrero de 2017

Kit de Phishing avanzado: robos de calidad al alcance de todos


En el ámbito de la tecnología, mucho se habla acerca de no reinventar la rueda. Cuando algo anda bien, es mejor reutilizarlo que construir uno propio desde cero. De esta manera, el esfuerzo se minimiza y los recursos extras pueden utilizarse para otro fin, como mejorar la rueda.

El ámbito del cibercrimen no es ajeno a este principio y lo que esto implica no es, por supuesto, nada agradable. Que un delincuente tenga la habilidad de desarrollar una herramienta para robar información confidencial ya es lo suficientemente malo.

Que esta herramienta pueda estar a disposición de cualquier delincuente que desee utilizarla, es peor aún. Si a esto se suma que la herramienta sea de fácil uso, brinde resultados de calidad y apunte a una capa que el software y hardware de seguridad no protegen, quizá el lector sienta un impulso de cerrar la pestaña en que abrió este post y seguir tranquilo con su día sin sumar una nueva preocupación a su vida.

Si no es así, entonces les presento al:

Súper Kit de Phishing

Así me presentó mi colega este descubrimiento de los investigadores de Proofpoint, y la denominación no estaba para nada lejos de la realidad. Estamos frente a una herramienta para administrar campañas de Phishing realmente sofisticadas, la cual analizaremos desde dos puntos de vista diferentes. En primer lugar, veremos a qué se enfrenta una persona cuando es víctima de un Phishing lanzado con esta herramienta. En segundo lugar, veremos la herramienta en sí, desde el punto de vista del delincuente.

 

El lado de la Víctima

Los ataques de Phishing (a diferencia de los de Spear Phishing) tienen como objetivo un público masivo. Esta herramienta en particular está orientada a usuarios de PayPal, y llevará a la víctima a la siguiente pantalla de login, luego de haber conseguido que haga clic en el enlace de un correo de Phishing:


Hasta aquí no vemos nada nuevo. Salvo cuando se intentan ingresar unas credenciales inválidas de PayPal en dicha pantalla:
Desde el servidor se nos responde que nuestras credenciales son inválidas. ¡WTF!

Las trampas de phishing suelen aceptar cualquier dato que las personas ingresen, pero esta va más allá: Verifica que el email (no así la contraseña) corresponda a una cuenta legítima utilizando un servicio de Paypal, el cual permite comprar una tarjeta de regalo para un usuario.

Con esto, el Kit de Phishing logra reducir el número de credenciales inválidas recolectadas por su campaña de phishing, a la vez que le da mayor credibilidad a su falsa página de Login.

Y esto recién comienza.

Si se introducen unas credenciales válidas, el Kit de Phishing no se conformará con hacerse con las mismas, sino que instará a la víctima a verificar la seguridad de su cuenta, en la segunda pantalla de esta trampa de Phishing.


Dicha verificación, comenzará solicitando a la víctima los datos de su tarjeta de crédito asociada con su cuenta de PayPal.



El número de la tarjeta de crédito será validado contra el Algoritmo de Luhn para verificar que sea un número válido de tarjeta de crédito y luego se obtendrá la siguiente información extra desde esta herramienta:
  • Nombre del banco
  • Sitio web del banco
  • Número telefónico del banco
  • País del banco
  • Tipo de tarjeta de crédito
Una vez que el número de la tarjeta de crédito ha sido validado, la víctima será llevada al cuarto paso de la trampa, el cual intentará conseguir información de seguridad acerca de su tarjeta de crédito:

 

Si piensas que luego de esto, este Kit de Phishing ya no puede ser más ambicioso, descubrirás que te equivocas.

El paso siguiente ofrece a la víctima conectar su cuenta de PayPal con la cuenta de su banco, el cual puede seleccionar desde una lista de confiables logos bancarios:


Una vez seleccionado un banco, la próxima pantalla solicitará el correspondiente usuario y contraseña del mismo:

Finalmente, como último paso, se solicitará a la víctima confirmar su identidad, para lo cual se le permitirá subir un documento, como ser un escaneo de su licencia de conducir:



Hecho esto, la víctima llegará al final de esta Súper Trampa de Phishing, donde se le informará que la verificación ha sido exitosa y se la llevará hacia la página principal legítima de PayPal:


La vista del Delincuente

Ahora que ya vimos de qué es capaz este Kit, es hora de conocerlo más de cerca. Como podemos ver en la siguiente imagen, el Kit ofrece un panel de administración desde el cual el delincuente puede administrar sus campañas de phishing desde diferentes vistas:

De esta manera, posee acceso fácil y rápido a, por ejemplo, la información de cada persona que llega a la trampa de phishing:


O a las credenciales robadas en cada paso del Phishing:


También puede por supuesto configurar cómodamente toda la campaña de Phishing, teniendo la opción de quitar o agregar pasos a la trampa en forma simple e intuitiva. Se destaca entre las opciones la posibilidad de incluir la página de Selfie, la cual, a través de Flash, interactúa con la cámara web de la víctima para tomar una selfie de la misma.


Todo esto y más está al alcance de cualquier delincuente, listo para utilizar, sin tener que desarrollar una sola línea de código.

Para el atacante, lanzar una campaña de phishing completa y sofisticada sólo lleva algunos clics. Todo el “trabajo sucio” lo realiza el Kit de Phishing. Esto demuestra que los delincuentes poseen barreras cada vez más pequeñas para poder llevar a cabo ciberdelitos de mayor calidad y con alta tasa de éxito.

La tendencia de este tipo de ataques en calidad y cantidad es creciente, ya que este tipo de Kits no se reinventan, sino que se van mejorando y evolucionan hacia productos cada vez más complejos y efectivos, accesibles para cualquier persona que sepa dónde buscar.

Sólo para valientes

Si aún no cerraste el post en busca de una noticia mejor, voy a decirte cómo enfrentar esta amenaza.

Los delincuentes eligen este tipo de ataques ya que apuntan directo a la falta de conciencia y entrenamiento de las personas. De esta manera, pasan por arriba de cualquier software o hardware de seguridad, ya que es la misma persona quien brinda toda la información, víctima de un engaño bien pensado, diseñado en detalle, customizable, fácil de usar y reutilizable por cualquier delincuente interesado.

Si las personas están entrenadas correctamente, no serán vulnerables a este tipo de engaños, y los delincuentes no podrán conseguir su objetivo. ¡Incluye a las personas en tu estrategia de seguridad!

0 comentarios:

Publicar un comentario