Fueron varías las veces que durante el año comentamos acerca de distintos casos de phishing. En esta oportunidad les traemos un caso de phishing en el que pudimos confirmar el éxito del ataque y, no tan sorpresivo, las víctimas no son pocas.

Todo empezó cuando recibimos un correo que sólo contenía un enlace web, el mismo nos llamó la atención y decidimos investigarlo un poco. Al hacerlo dimos con una página web que parecía sospechosa. Indagando un poco más en los datos vimos que ofrecía descuentos para clientes de una conocida red responsable de la captura y transmisión de operaciones con tarjetas de crédito; y beneficios de la tarjeta electrónica, tales como alimentos, comida y premios. Esta empresa es originaria de Brasil y confirmamos que el ataque esta orientado a este país. De hecho, el correo recibido se encuentra redactado en portugués.

Al entrar al sitio web del enlace, se observa una captura como la siguiente, donde existían enlaces a páginas fraudulentas de tres reconocidas empresas de tarjetas de crédito.

Desde una pantalla tan sencilla como la anterior se redirige a los usuarios a otros tres sitios web, cada una perteneciente a una empresa diferente en la que se solicitan datos de la tarjetas, todos los necesarios para realizar alguna compra. Se preguntarán por qué se solicitan tantos datos. Seguramente ya adivinaron, el objetivo es que , al caer en la trampa, un atacante se quede con los datos de nuestra tarjeta de crédito y obviamente nunca veremos ningún descuento ni premio, a lo sumo una cuenta a pagar en nuestro resumen.

En cualquiera de los tres casos, los datos no son realmente almacenados para ofrecer descuentos, sino que quedan a disponibilidad de un atacante quien podrá usarlos y las víctimas pagarán las consecuencias. Estas tres páginas no son las verdaderas sino que han sido creadas con la total finalidad de engañar al usuario, robar sus datos y luego utilizarlos para operaciones ilegales.

Uno de los aspectos más críticos de este ataque es que el mismo sitio fraudulento es vulnerable, haciendo que el acceso a sus directorios y archivos con los datos de usuarios recopilados sea sencillo. El sitio se encuentra expuesto a todo el mundo. Cualquier persona con algunos conocimientos podría navegar por los directorios del sitio y acceder a datos de tarjetas de crédito de las víctimas del ataque, como se observa en la siguiente imagen:

Ante los ataques de phishing, es importante resaltar la importancia de adquirir buenas prácticas al momento de navegar por Internet y tener conciencia de cómo evitar ser víctimas de estos ataques basados en Ingeniería Social. Estar informados es vital para evitar este tipo de ataques como así mantener nuestras cuentas de correo sanas y salvas. Para mantenerse alejados de este ataque, recomendamos leer la manera en la que opera un phiser, para observar todo el procedimiento de este ataque.

A modo de conclusión, podemos identificar varios puntos a tener en cuenta. En primer lugar, el correo se recibe normalmente desde un contacto o correo de spam, en el mismo se verá un enlace que lleva a un sitio web donde se ofrecen promociones, regalos y descuentos con solo dejar los datos de la tarjeta de crédito. Siempre debemos prestar atención al enlace real y tener conciencia del lugar al que nos intenta redirigir, si desconfiamos del mismo mejor no acceder. Si el correo proviene de un contacto, podríamos contactarlo y avisarle que desde su correo electrónico se están enviando dichos mensajes, él podría estar siendo víctima de este ataque y su cuenta ha sido comprometida.

Pablo Ramos
Especialista de Awareness & Research

Categories: Alertas, Phishing
3 Comments »

Buenas noticias llegan desde otras partes del mundo, relacionadas a las redes botnet y los ciber criminales que las administran, o son parte del circuito delictivo que estas integran. En esta oportunidad, según informa Virus Bulletin, ocho personas relacionadas a Zeus han sido arrestadas en las últimas horas. Zeus es, a la fecha, una de las botnet más utilizada a nivel mundial. Como mencionábamos hace unos días, su creador decidió abandonar el desarrollo de la misma, aunque el código fue “donado” al creador de SpyEye, una de las botnet de mayor crecimiento durante el presente año. De todas formas, ya destacábamos que “aunque ya no será comercializado, todas las versiones de Zeus ya adquiridas siguen en funcionamiento, por lo que esto no representa la desaparición total de esta amenaza“.

Tal es así que, unos días más tarde, leemos las noticias que presentamos en este post. Por un lado, la policía de Wissconsin (Estados Unidos) arrestó dos ciudadanos de Moldavia que trabajaban como “mulas“: transferían dinero utilizando las cuentas bancarias obtenidas por el troyano de Zeus, hacia cuentas de los delincuentes.

Por otro lado, en el mismo Moldavia, otros seis individuos fueron arrestados por estar involucrados en la misma organización criminal. Se sabe que al menos una de las personas trabajaba en el Banco de Moldavia. Como indica el reporte en Virus Bulletin, estos arrestos demuestran que estos criminales “no son inmunes a la ley”, y que la cooperación entre países y fuerzas de seguridad pueden permitir este tipo de acciones.

Los detenidos formaban parte de un listado de personas buscadas del FBI, de la cuales aún 11 personas no han sido arrestadas. El anuncio de prensa del Centro de Combate contra Crimenes Económicos y Corrupción de Moldavia (CCECC, del inglés Centre for Combating Economic Crimes and Corruption) indica algunos números interesantes sobre los arrestos y la propia red delictiva de Zeus:

• Fueron arrestados 6 de los 12 sospechosos por estos crímenes, e incautados 300 mil dólares y dos autos de lujo.
• Se estima que el dinero transferido por las cuentas bancarias de todas las víctimas ronda los 200 millones de dólares.
• Más de 70 millones de dólares han afectado a instituciones financieras de Moldavia.
• Si se comprueban los delitos, los arrestados pueden ser sancionados con hasta diez años de cárcel.

En resumen, estamos ante una nueva acción de seguridad en la lucha contra las botnets. Luego de las bajas de redes como Waledac, Mariposa o Bredolab (hace unas pocas semanas), lo interesante de este hecho es que fue directamente contra las personas responsables, y no contra la infraestructura de la red. En continuidad con este camino, y en colaboración entre los países, los especialistas en seguridad y los responsables de la justicia, será posible leer con más frecuencia hecho de este tipo, en la lucha contra los ciber delincuentes.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Botnet
3 Comments »