24 enero 2010

Origen y evolución del eFraude

El término phishing aparece por primera vez en el año 96 en las newsgroups de hackers y en la edición del Magazine 2600. Este término tiene dos orígenes: 1) "Fishing" o pesca, refiriéndose a la pesca de credenciales o a la pesca de ingenuos para intentos de fraude, 2) Phishing - "Password Harvesting" que viene a significar cosecha de contraseñas.

En 1996 un phisher se hizo pasar por técnico de AOL y envió mensajes haciendo uso de la ingeniería social en los que solicitaba que el usuario verificase su cuenta o confirmase una factura y así poder solicitar las credenciales personales de la víctima. Con estos datos ya podía realizar acciones como el envío de spam. Para intentar solucionarlo, AOL incluyó como texto by default en el intercambio de mensajes: "AOL nunca le solicitará contraseñas o información de facturación".

En 2001 aparecen los primeros scam en Hotmail con el texto "Usted es uno de los 100 ganadores de Hotmail" junto con un formulario que solicitaba el usuario y la contraseña de la cuenta de la víctima. Aunque este mensaje aparecía firmado por el Staff de Hotmail, en realidad provenía de una dirección IP de Ucrania. También AOL informó de un caso similar en donde el usuario recibía un mensaje que le avisaba de un error en su registro y no podían facturarle, para evitar que se le diera de baja debería rellenar un formulario lo antes posible. Además incluía un enlace a una página para realizar la facturación de AOL. Ese mismo año se recibieron mensajes informando que un grupo de hackers había accedido a la base de datos de MSN en donde solicitaban el envío de un correo con los datos personales y la cuenta (usuario y contraseña) porque de lo contrario serían borrados de la base de datos.

En 2002 fueron los usuarios de ICQ quienes recibieron mensajes simulando la imagen de ICQ, en los que les solicitaban sus datos personales en un formulario, y mediante un script redireccionaban sus datos a una dirección de Hotmail. A finales de año Yahoo informaba que varios de sus clientes habían recibido correos donde les solicitaban los datos de sus tarjetas de crédito.

En 2003 le tocó el turno a los usuarios de EBAY quienes recibieron correos que simulaban alertas de Paypal solicitando sus datos bancarios y los números de sus tarjetas de crédito. Después aparecieron los primeros phishing a entidades de banca online como Barclays Bank, BBVA, en donde los phishers usaron técnicas para la ofuscación de URLs. También comenzaron a registrarse nombres de dominio similares a los de las entidades bancarias. A finales de año se detectaron los primeros correos dirigidos a banca online que incluían troyanos con técnicas de ocultación. Un caso fue un ataque que introducía un troyano embedido en código HTML e incluía un script en la máquina de la víctima. Ese troyano era una variante del Spy-Tofger.

Las técnicas que se usaron a partir de entonces se enfocan hacia intentos de fraude como:
  • Correos electrónicos: masivos de spam, selectivos, acompañados por ingeniería social para captar la atención de la víctima, también podían hacer uso de webspoofing o falsas páginas web, algunas venían acompañadas de malware que redirige el nombre de dominio a otra máquina (pharming). Aparece por primer vez un troyano con capacidad para capturar las pulsaciones de teclado (Keylogger)
  • Sitio web: malware que explotaba las vulnerabilidades sin parchear de los navegadores, en el sistema operativo, y una vez infectado redireccionaba a los usuarios a servidores web en donde estaban las páginas que suplantaban a las originales. También se insertaba código malicioso en HTML, frames, scripts PHP, en donde se ocultaban keyloggers, capturadores de pantalla, backdoors. Banners publicitarios para redireccionar al usuario a sitios con confiables.
  • IRC y Mensajería Instantánea: donde se enviaban imágenes, URLs, a los usuarios con contenidos maliciosos. Se enviaba SPAM y se conectaban bots para propagar los contenidos.
  • VoIP: simulación telefónica, uso de Bots-IVR que solicitaban las credenciales personales. Redirección a webspoofing, otros canales.
  • Buscadores: que proporcionaban sitios maliciosos en respuesta a las búsquedas de comercio electrónico o banca online.
  • Mensajes en foros, en redes sociales, tablones de anuncios, con mensajes con ingeniería social para captar a la víctima
  • Redes P2P, descarga de software desde páginas de descarga masiva.
  • Plataformas de juegos online, recordamos los casos de phishing que han sufrido los jugadores del World of Warcraft.
  • Falsos antivirus y antispyware, utilizando llamativos anuncios o pop-ups que avisos alarmantes que advierten al usuario que su sistema está infectado y debe comprar la solución que se le propone. Al usar su tarjeta para obtener este producto sus datos son capturados para su posterior uso fraudulento.
  • Vía teléfono móvil (SMiShing), enviando un SMS al usuario en donde se le invita a enviar su información privada o visitar un sitio web con contenidos maliciosos.
  • Botnets: que tratan de controlar un número masivo de máquinas para la captura de datos bancarios, cuentas de correo.
El objetivo de estas mafias es la búsqueda de usuarios y los datos de sus cuentas bancarias. Haciendo uso de la ingeniería social, el spam y el malware. Entrando en las redes sociales como Facebook o Twitter. Aprovechándose de mensajes con carga emocional, como por ejemplo la catástrofe en Haití, en donde ya se han detectado casos de phishing para lucrar a estas organizaciones.

Los usuarios y las entidades deben tener una actitud responsable y utilizar medidas de protección. Se debe concienciar y educar al ciudadano para estar alerta y evitar que sus datos personales y bancarios sean robados.

[+] INTECO

11 comments :

Thomas Anderson dijo...

Como no citas fuentes acerca de la historia, quería comentar que sobre lo de Hotmail, ya antes del 2001 existía la picaresca de enviar mails de phising con formularios simulando ser en nombre de hotmail para robar las pass de los usuarios.

Laura García dijo...

@Thomas Anderson: La fuente son unas charlas de INTECO a las que asistí.

Gracias por tu aportación.

Saludos

Marcos dijo...

Gracias Laura por compartir con todos esta información tan valiosa, que nos sirve para estar alertas, ya que hoy en día los delitos informáticos no solo afectan a las entidades bancarias, si no también a cualquier usuario que desconoce la forma como operan esta nueva generación de delincuentes.

Saludos.

Marcos.

Laura García dijo...

@Marcos: Muchas gracias :)

Saludos

Blog Juniper Colombia dijo...

Estoy de acuerdo que el tema de Phishing es el pan de cada dia, pero para poder mejorar las medidas de seguridad tambien debe ser parte activa el USUARIO ya que de el depende que tan efectivo llegue a ser un ataque de phishing. Debido a las nuevas tecnicas que utilizan los cybercriminales donde suplantan informacion de entidades son mas los casos exitosos de fraude debido a que el usuario accede a estos sitios atraves de Liks los cuales nunca verifica si realmente son de la entidad a la que esta entrando, asi que se debe crear mas campañas de concientizacion y divulgacion.

R.S dijo...

Qué petardo..

SEÑOR DE INCOGNITO dijo...

CUIDADO RADIOACTIVOMAN!
 

Pepe dijo...

Hola xusma

Pepe dijo...

xusma no tiene fuerza

Pepe dijo...

Hola triviño!!!!!!!!!!!

profe dijo...

vaya mierda