18 septiembre 2010

El fraude te busca, te persigue y evoluciona contigo

No está considerado como la profesión más antigua del mundo, pero si una de las acciones documentadas con mayor antigüedad. Ya los griegos engañaron a los habitantes de Troya haciéndoles creer que el famoso caballo era un regalo, así pues la práctica de la estafa o el engaño, viene de antaño.

Con el horizonte de posibilidades que se abren al poder "llegar" a una cantidad inimaginable de público a través de Internet, los practicantes de las estafas se siguen aprovechando del elemento más débil de la cadena, es decir, la inocencia e ignorancia humana para cometer sus actos. Dada la evolución de los hábitos de los usuarios en Internet, se multiplican y actualizan los canales "de moda" para poder actuar.

He intentado ordenar cronológicamente según recuerdo que se empezaron a utilizar, hasta nuestros días:
  • MSN Messenger: Raro es encontrarte una invitación de alguien que no conoces, cuyo correo es extraño, posiblemente extranjero y que le digas lo que le digas siempre te contesta lo mismo. Los primeros bots MSN que, en base a navegar incansablemente por la red, añadía correos de hotmail a su lista y después de una "interesante" y robotizada conversación sin sentido alguno, te proveía de un enlace para que una vez más picaras y tu PC descargara algún tipo de malware. Otra variante de los bots MSN ofrecían servicios de "Quientehaeliminado" de la misma red. Una vez suministrabas tu usuario/contraseña, éstos cambiaban tu mensaje actual y se hacían publicidad a sí mismos, abriendo una ventana y enviando una copia del enlace a todos tus contactos, tanto por correo como por mensajería instantanea. Además cambiaba tu nombre y estado de MSN. De hecho, incluso a día de hoy este tipo de malware todavía está en pleno apogeo y aun la gente pica!
  • Facebook: Cuantas veces he visto grupos en los que se dice, "Si quieres saber quién mira en tu perfil, ingresa en este grupo. Este de verdad funciona"… Cuando el que crea el grupo pone "Este de verdad funciona…" malo, porque está claro que no funciona! ¿Qué saca el creador del mismo al haberte logrado engañar para ser parte de ese grupo? Pues así tendrá a su disposición una gran masa receptora de Spam, o de "ofertas" a las que engañar enviándoles un simpático mensaje con algún enlace,.. que pueda derivar en cualquier otra acción de malware conocida o desconocida. Otro tipo de engaño que ya reseñaba El Maligno en Facebook son publicaciones bastante ingeniosas en los muros de algun@s como: "Si pones tu contraseña de Facebook en tu muro en Facebook aparecerán *******. Haz la prueba si no te lo crees!" y efectivamente y como podéis imaginar, la curiosidad humana es más potente que el pensarlo dos veces: Oye, ¿y si fuera verdad…?  Ya hablamos hace tiempo de aplicaciones facebook que supuestamente eran inofensivas pero que podrían ser altamente maliciosas si les permitíamos acceder a nuestros datos.
  • Twitter: Dado el auténtico boom que ha resultado ser la red Twitter, que incluso se plantean estudios que posiblemente hagan dejar de lado los lectores RSS, está claro que la forma de distribuir spam, y malware en cualquiera de sus formas, pronto se apoyaría en la potencia de esta red social. Así pues, amén del spam generado y que Twitter se encarga de intentar limitar y controlar, dado una vez más a la curiosidad humana, se observaron casos como el de Twifficiency en el que, por pulsar un enlace y hacer login con tu usuario y contraseña de Twitter, te devolvía un mensaje con el porcentaje de "Tu Eficiencia en Twitter". Acto seguido y de la misma forma que con los "Quientehabloqueado" de MSN, la aplicación hacía login con tus credenciales y publicaba en tu timeline tu Twifficiency… En este caso, el autor de la aplicación cometió un error y lo hizo inconscientemente (llegando por cierto a ser trending topic) debido a que "se lió con el mecanismo de funcionamiento OAuth". Otro gran "ataque" de distribución de malware se produjo esta semana mediante el hash #CNP, que mezclaba la capacidad de expansión de un mensaje a través de Twitter, la utilización de varias cuentas comprometidas y a través de uno de los grandes pero "acortados" riesgos: los acortadores de URLs
  • Linkedin: Hace poco ví un post en el blog de nuestro amigo Jordi Prats en el que llegaba a la conclusión que le añadía gente desconocida a Linkedin, con la finalidad de conseguir una red de contactos de IT actualizada que poder vender como base de datos en el mercado de los recursos humanos y el "head hunting".
Podríamos decir que todas estas amenazas requieren de colaboración humana por parte del inocente usuario para ejercer una acción: ya sea un click en un enlace, una llamada a un número premium, aceptar una inocente aplicación Facebook, creer en que alguien da duros a cuatro pesetas, etc, etc,..

Como buenas prácticas a tener en cuenta ante este tipo de amenazas podríamos dar las siguientes:
  • Cuentas "de prueba": Dada la gratuidad de las redes sociales, mensajería instantánea, etc,... nada nos impide el poder contar con tener una cuenta "B" con datos ficticios o no relacionables con la cuenta "A", a partir de la que poder realizar aquellas pruebas, y por supuesto en un entorno "sandboxizado" en el que no se haga daño a nuestro entorno de trabajo.
  • MSN Messenger: Aparte que ya no se puede saber quién te ha eliminado en el MSN a ciencia cierta, una buena forma de evitar el compromiso de la contraseña es cambiarla justo antes de usar el servicio "Quientehaeliminado" y justo después de haberla usado… Aun así, lo mejor es no usarlo!!!
  • Facebook: Piensa dos veces antes de sumarte a un grupo. Si tuvieras que pagar 1 euro por cada "Me gusta" o cada "Grupo" al que te adhieres, miraríamos con mucha más tranquilidad si nos unimos o no así como así.
  • Twitter: Tener precaución antes de pulsar en enlaces acortados y utilizar alguna de las diversas utilidades que permiten hacer un preview del enlace real sin acortar antes de pulsar encima.
  • Email: Por supuesto, contar con un sistema de antispam, antivirus o protección integral bien actualizado sobre vuestros sistemas Windows, o utilizar un sistema operativo Linux o *NIX, para los que existe un número inferior de amenazas que les afecten.

6 comments :

Anónimo dijo...

Mal símil. Es un error afirmar que el caballo de Troya fue presentado como regalo a los troyanos; nadie habría picado con un ardid tan obvio. El citado artículo de la Wikipedia contiene numerosos errores. Los troyanos fueron engañados para creer que el caballo era una ofrenda a los dioses, así que introdujeron el caballo en la ciudad para malograr la ofrenda de los aqueos.-Ignacio Agulló

Anónimo dijo...

Se te olvida el fraude mas estupido y efectivo en gente ignorante que aun se sigue usando en la red ... es ese de:

- Envia un correo a tal email con tu usuario, contraseña, y el msn de quien quieres saber su contraseña

Hay algo mas estupido ? T_T

Lorenzo Martínez dijo...

@Ignacio Agulló -> la verdad es que no soy historiador sino informático por lo que no sé a ciencia cierta si la historia del Caballo de Troya fue por una ofrenda a los dioses o a ellos mismos. El mensaje conocido por todos sobre la historia, es que dentro de dicho armazón de madera había un montón de soldados griegos que, los propios troyanos metieron en su protegida ciudad...

@Anónimo2 -> Pues sí, la verdad es que lo que es inconcebible es que se pueda picar ante algo así...

eduardo dijo...

@Lorenzo: hecho de menos mencionar los troyanos para bancos ... han arrasado en los últimos años.

Saludos,

Anónimo dijo...

Joder como se ofenden los gurús. No hace falta ser historiador, sino tener un poquito de cultura general. Incluso viendo la película sabrías eso. El comentario del primer anónimo, a mi entender, solo aclaraba ese pequeño error, no hacía falta que te excuses ni te ofendas, que con ser informático ya es suficiente, es cierto que no se puede saber todo, por eso nunca esta de más que alguien venga a enseñarnos un poquito mas de sabiduría, a pesar de lo que os jode a algunos.

Sin acritud. Saludos.

Lorenzo Martínez dijo...

@Eduardo -> tienes toda la razón... olvidé mencionar los troyanos hechos específicamente para algunos bancos. Intenté enumerar los que me habían tocado a mí (troyano bancario no me tocó, que yo sepa jeje)

@Anónimo3 -> No hay ofensa ni excusa en mi contestación. Simplemente yo no lo sabía/recordaba y efectivamente el simil puede no ser lo más acertado. Lo que quería dar a entender es que dentro de un continente atractivo puede encontrarse algo malo y peligroso... Siento que malinterpretaras la contestación, pero te aseguro (a tí y a Ignacio Agulló) que lo escribí sin ningún sentimiento de ofensa :D

Saludos,