Phishing estudiado y personalizado

Debido a la reciente oleada de campañas de phisings y robo de cuentas de correo que nos hemos encontrado recientemente, hemos decidido compartir información que le puede ayudar a mitigar y evitar este tipo de problemas.

No es el cometido de este artículo dar mucha información sobre el phishing. No entraremos en cuestiones técnicas. Solo comentar que nunca, nunca, «jamás de los jamases» nuestro banco nos va a pedir ningún dato de nuestras cuentas para que se lo indiquemos a través del correo electrónico. Aún así y siempre hay personas que acaban revelando información sensible.

La finalidad del phising

El phishing que siempre se ha conocido era generalizado, el típico correo simulando ser el banco y con el típico enlace para robarte tus datos. Esta era la forma que tenían para intentar robarte dinero, tarjetas o datos personales. Luego el phishing pasó a ser para todo, lo mismo daba ser un banco, que una operadora de telefonía. Pasado este boom y debido a los avisos de «no pinchéis en las web que dicen ser un banco» o «nosotros nunca pediremos sus datos por mail o teléfono» empezaron a intentar pasar ficheros que simulaban ser una factura para infectarte el ordenador y así tener acceso a tus datos.

⚠Este #phishing suplantando la identidad de @bancosantander está circulando estos días por #RedesSociales.
Quieren obtener tus datos para #malware o envío de publicidad.
No pinches enlace y elimina pic.twitter.com/iaS5qdyoQE

— Policía Nacional (@policia) April 12, 2018

El Spam

El método por el que te llegaba el phishing era simple, oleadas de Spam porque la teoría era que cuanta más gente recibiera el correo, más fácil era que alguien picase y así poder robar la mayor cantidad de datos posibles.

El Phishing personalizado

Últimamente están llegando oleadas de correo falseando del from del mensaje, es decir la cuenta de correo de origen del mensaje es una cuenta de correo que pertenece al mismo dominio, de igual forma esa cuenta de correo el atacante la establece como cuenta de destino indicando que te han robado el acceso, te han infectado con un virus y tienen en imágenes comprometidas. En este punto recibes el correo electrónico para extorsionarte. Solicitarán una cuantía económica a cambio de revelar información íntima sobre nosotros.

La repercusión de este phishing ha sido muy importante y hasta la cuenta de @Policía ha tenido que avisar de su falsedad.

🚩Nueva oleada de #estafas por mail: ⚠"Tienes 24 horas para pagar 400 € o publicamos un vídeo tuyo de contenido sexual"… ¿En bitcoins🤔?¡Venga ya! #NoPiques pic.twitter.com/9I1r7Nm9CI

— Policía Nacional (@policia) July 26, 2018

Cuando van contra ti

Es muy común conocer estos problemas en prensa, radio, etc al no ser un problema tangible, lo vemos como algo lejano y perdemos perspectiva del alcance que tiene una suplantación de identidad yy phishing. Es un problema que se está agrabando últimamente e el entorno empresarial.
Es un paso mas allá del phishing que empieza cuando el atacante consigue acceso a cuentas de correo con contraseñas débiles, robadas normalmente por medio de virus y troyanos infectados en ordenadores. Aprovechan estos virus para obtener la información y tener acceso directamente a ti.

Una vez que tienen tus datos, empieza un seguimiento diario de tu correo, con quien escribes, que mandas, que te contestan, etc … y eso tiene una finalidad clara, encontrar contactos y comportamientos donde poder obtener dinero. Una de las formas de hacerlo que hemos podido constatar es configurando tu cuenta de correo como cuenta externa en Gmail, Yahoo, Mail.ru, … De esta forma se aseguran que tienen una copia de todo lo que recibes por lo que pueden ver a través de webmail todo tu correo. Tus mensajes enviados, recibidos, contactos, … Todo! ya está expuesto.
Principalmente lo que buscan son dos cosas, comunicaciones con tu banco por correo electrónico y comunicaciones de facturas con tus proveedores. Cuando encuentran las dos cosas, y son pacientes hasta hacerlo, ya tienen todo lo que necesitan. El siguiente paso es el ordenamiento de trasferencia de dinero de tu cuenta bancaria hacia cuentas externas. En este paso es muy importante el error humano ya que hay que estar muy atento sobre origen, destino de la transferencia que se va a realizar.

¿Cómo actúan?

Como he indicado antes, necesitan los correos con tus proveedores y con tu banco, además de practicas poco recomendables como realizar operaciones bancarias de cuantía con tu banco por medio de correo electrónico, algo impensable pero que a día de hoy he comprobado que se da y mucho.

Lo siguiente es modificar la factura legal que tu proveedor te envió por otra, en la cual modifican el importe, la descripción y lo más importante, el número de cuenta donde tu banco tiene que pagarla. Con esa factura falseada lo siguiente es esperar a tu horario normal de trabajo y enviar un correo simulando ser tu, con tu cabecera, tu forma de escribir (nos han hecho un seguimiento en casos durante semanas) a tu banco siempre con la misma excusa, tengo una factura de mi proveedor que me tiene el pedido parado es urgente haz la transferencia por favor…. Aquí es donde entra la suerte, ya que depende de tu operativa con el bando y de la picaresca del banco, el que haga o no la transferencia.

Dónde termina el dinero

Si el atacante ha tenido suerte y la transferencia se ha realizado, normalmente ese dinero termina en la cuenta de una mula, persona que se queda un porcentaje y reenvía el dinero a otra cuenta o Western Union a nombres falsos, o a cuentas falsas con las que compran criptomonedas para que se le pierda el rastro.

¿Desde dónde vienen estos ataques?

La dirección IP que ha estado revisando nuestro correo normalmente viene de Nigeria, aunque en ocasiones también hay accesos desde USA o Rusia, pero como indicaba antes se usan correos de Gmail, Yahoo, Mail.ru, … por lo que realmente puede haber direcciones de cualquier parte del mundo, ya que es muy común usar TOR o cualquier servicio de proxy incluyendo bots y equipos infectados para enmascarar la IP y ser mas difícil el rastreo del dinero obtenido.

Conclusión

No sería algo que se debería recordar, ya que por activa y por pasiva se ha indicado y argumentado, pero nunca, nunca, nunca tu banco te pedirá por mail o por formulario cualquier tipo de dato bancario o datos de tarjetas de crédito. Mucho menos imágenes de esas tarjetas. Lógicamente por nuestra seguridad, los movimientos bancarios nunca deberían realizarse mediante un simple correo electrónico con nuestro agente bancario. Es algo que no es entendible  a sabiendas de la facilidad en puentear o falsear correos electrónicos. Una consulta podría ser aceptada, pero un movimiento bancario fuera de nuestras cuentas es una temeridad como ya se ha demostrado.

Lo que si deberíamos hacer es mantener una política correcta de passwords seguras y actualizándolas con frecuencia. Una herramienta muy útil para saber si nuestro password o correo ha aparecido en alguna ocasión en las listas de contraseñas hackeadas a grandes sitios es mediante la web Haveibeenpwned y podremos comprobar si tenemos riesgo o no.