2.3.12

Aumenta el número de ataques de Phising

Originalmente publicado por  Luis Enrique Corredera en elreservado.es, 29 de mayo de 2010 

 

Málaga. Día 25 de marzo de 2009. Como todos los días 25 de cada mes, Manuel abre su navegador Web, teclea en la barra de direcciones la página Web del banco y se dispone a realizar los periódicos pagos a los proveedores. Con total confianza y naturalidad introduce su usuario y una larga clave compuesta por números y letras que le asignaron en su banco, mientras recuerda cómo tenía que hacer las cosas antes: imprimir la relación de liquidaciones y cuentas, acercarse a la oficina del banco, esperar su turno en una larga cola y ordenar las trasferencias pertinentes. Posiblemente después habría tomado café con el director de la sucursal, y hubieran comentado las dichas y desdichas de sus equipos de fútbol. Sin embargo, ahora podía, gracias a la Internet y los servicios online de la banca, realizar este mismo trabajo en muy poco tiempo.

Tras seleccionar la opción de envío de trasferencias, eligió la cuenta del primer proveedor, escribió la cifra y pulsó el botón enviar. Inmediatamente, la pantalla le pidió, mostrando un teclado dibujado, que introdujera la clave número 46 de su tarjeta de coordenadas. Manuel no dudó en buscar la clave correspondiente y escribirla pulsando estas teclas virtuales con su ratón. No cabía la menor duda de que su banco se preocupaba por la seguridad de sus clientes y exigía estas claves en cada operación que comportara movimientos de dinero. Esto lo reconfortaba. No así el mensaje que mostró su navegador, indicando que el saldo de la cuenta era insuficiente para realizar la operación. Extrañado, obtuvo un extracto de las operaciones y pudo comprobar de la existencia de 5 trasferencias internacionales, por un importe total de 72.000 euros, realizadas apenas dos días antes, a diferentes cuentas, dejando prácticamente a cero la liquidez de su cuenta. Llamó por teléfono al banco para preocuparse por las trasferencias que, por supuesto, él no había ordenado. En el banco le dijeron que habían sido realizadas por Internet, y que sólo él tenía acceso a la gestión online de su cuenta.

Manuel, siendo plenamente consciente de no haber realizado las trasferencias internacionales, acudió a la Policía para interponer una denuncia, sin saber exactamente qué había ocurrido y apurado por la incapacidad de hacer frente a los pagos pendientes. La Policía, con el ánimo de ayudarle, sometieron a Manuel a una larga ronda de preguntas, durante las cuales reconoció haber recibido una notificación por email de su banco, pidiéndole que validara los datos de acceso a la Web en una dirección que adjuntaban en el correo. También pedían, en esa dirección, que introdujera los valores de su tarjeta de coordenadas para validar que fuera correcta.

Facilidad para falsificar un correo electrónico

Para los agentes de policía, no había la menor duda. Manuel, al igual que varios miles de españoles, había sido víctima de un ataque de Phising. Al igual que Manuel, mucha gente cree recibir por email una notificación de su banco habitual, y sigue las instrucciones que aparecen en el email de forma cándida y confiada. No son conscientes de la facilidad que presenta la falsificación de un correo electrónico. España ha sido en 2008 el “líder mundial” en envío de correos electrónicos orientados al robo de credenciales bancarios [1]. Y es que el robo de credenciales bancarios ya no es un ámbito de trabajo de delincuentes de poca monta con un nivel de tecnificación alto [2], ahora es territorio copado por el crimen organizado [3], incluso con su propia bolsa de trabajo para ayudar con el blanqueo y transporte de dinero [4].

Manuel disponía de un software de antivirus. En su empresa había instalado un sistema firewall celosamente configurado y las políticas de seguridad de su sistema informático eran estrictas e infranqueables. Las medidas de seguridad que ofrecía el banco también parecían adecuadas (aunque hemos podido comprobar que insuficientes de todo punto). Miles de personas se esfuerzan cada día por la “seguridad electrónica” de los usuarios de informática e Internet. Sin embargo toda la cadena de protección depende del eslabón más débil: el usuario con escasa cultura tecnológica.

Cada día son más frecuentes los ataques de diversos tipos que tienen éxito por una falta de cultura tecnológica del usuario. Normalmente este tipo de ataques se fundamentan en la materia conocida como ingeniería social [5], de la que su mayor exponente ha sido el mítico hacker Kevin Mitnick (alias Condor) [6], y la única forma de combatirla es a través de la formación. Es cada día más frecuente escuchar cómo personas comentan que han hecho compras por Internet, que consultan sus cuentas bancarias por Internet, o que incluso hacen negocios mediante subastas en Internet, sin ser conscientes del riesgo que asumen a través de su desconocimiento.

Al igual que cualquier otro ámbito de delincuencia, mientras hay gente que trabaja por nuestra seguridad, hay cada día más gente que urde nuevas formas de comprometer nuestra seguridad. Además, cada vez nos encontramos con perfiles más profesionales en el lado de los delincuentes, más preparados y con ataques más elaborados en muchos casos respaldados por organizaciones criminales internacionales.

A pesar de que los bancos son un goloso tarro de miel para los “pescadores” de credenciales, esta práctica se ha visto extendida a otros servicios online con millones de usuarios. Podemos encontrar intentos de phising de credenciales de EBay [7], Skype [8], Gmail [9], Facebook [10], etc.

La combinación de técnicas como el robo de historial (explicado ya en El Reservado en el artículo de Ubercookies) permite saber qué servicios online son usados por la víctima, mejorando así la efectividad del ataque.

Un troyano contra las entidades bancarias

El phising tuvo una gran repercusión entre 2006 y 2008, pero aunque los medios parecen haber enmudecido, el problema sigue existiendo, y cada vez con un mayor grado de especialización. El phising ha evolucionado y el uso de troyanos bancarios [11], que son pequeños programitas que normalmente no detectan los antivirus, y que sirven para robar los credenciales al usuario sin usar email-cebo. Hay troyanos sofisticados, que capturan las pulsaciones de teclado, y capturas de la pantalla para los teclados que tienes que pulsar con el ratón, y que se mueven. Yo mismo he desarrollado uno que comprometía la seguridad de las más grandes entidades bancarias de España en las VI Jornadas Nacionales de Avances de Seguridad en Internet [12], en el año 2008, que aún hoy sigue funcionando, y sin ser detectado por los principales antivirus. Incluso se han encontrado ya especímenes de troyanos bancarios que son capaces de falsificar la información que las páginas Web de los bancos muestran a los usuarios para ocultar las trasferencias que han sido realizadas a través del troyano [13].

La única forma que tendremos de poder defendernos de estos peligrosos ataques es a través de la formación sobre seguridad informática y la desconfianza sistemática de todo lo que te llegue por internet. Procura no hacer caso de correos electrónicos que te pidan tus datos de acceso, aunque lleguen en nombre de tu banco, o de Gmail, de Ebay, o de Facebook, etc. Te lamentarás si lo haces. También evita el uso de software pirata descargado del eMule, Rapidshare, Ares, Pando, o que te haya pasado el vecino en un súper DVD-Todo-En-Uno. Muchos programas pirateados o sus cracks llevan “premio”. Y por supuesto, mantente al día con las actualizaciones de los programas que tienes en tu ordenador: el propio Windows, el Office, el Adobe Reader, el Flash Player,… pues los fallos en el software es hoy uno de los principales vectores de infección, y estos fallos se arreglan con las actualizaciones del fabricante. Si no quieres tener algo en común con nuestro “Manuel” del ejemplo, sigue estrictamente estos consejos.

Nosotros seguiremos poco a poco adentrándote en la culturilla sobre seguridad informática en el El Reservado, desmitificando aquellas amenazas que te acechan mientras tú las ignoras.


Referencias:

   1. España es el país que mas correos de Phising envió en 2008: http://www-03.ibm.com/press/es/es/pressrelease/26643.wss
   2. 7 Detenidos en España por phising: http://muycomputerpro.com/Actualidad/Noticias/7-detenidos-en-Espana-phishing/_wE9ERk2XxDBQjFytuJ1nBx86jHfi-XoGApy7YuiuUA00wphxFgMS3ZC4f6lqz4iP
   3. La Policía Nacional desmantela la ramificación española de una organización criminal rusa dedicada al phising. http://www.policia.es/prensa/090526_1.htm
   4. Bolsa de trabajo para Phising: http://blog.s21sec.com/2010/01/si-no-encuentras-trabajo-es-porque-no.html
   5. Ingeniería social: http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_inform%C3%A1tica%29
   6. Kevin Mitnick: http://es.wikipedia.org/wiki/Kevin_Mitnick
   7. Phising EBay: http://soporte.pandasecurity.com/foro/viewtopic.php?f=169&t=2273
   8. Phising Skype: http://www.vsantivirus.com/phishing-skype-131007.htm
   9. Phising Gmail: http://www.computerworld.com/s/article/9139023/Google_confirms_Gmail_phishing_attack
  10. Phising a Facebook: http://siblog.mcafee.com/consumer/consumer-threat-alerts/facebook-password-reset-scam-threatens-computers-worldwide/
  11. Phising y el troyano bancario: http://www.empresasmantenimientoinformatico.com/blogmantenimientoinformatico/?p=1023
  12. Jornadas Nacionales de Avances de Seguridad en Internet: http://gsii.usal.es/seguridad/
  13. Falsificación de Saldo mediante troyanos bancarios: http://www.pcworldenespanol.com/pcwla2.nsf/articulos/98951988B1E215688525769E000E1322

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.