Se dice que una cadena es tan fuerte como el eslabón mas débil y en términos de seguridad de la información algunos autores señalan al usuario como dicho eslabón.
Dejando de lado si esta aseveración es o no cierta, en esta ocasión les comparto una muestra de un ataque que definitivamente esta orientado al usuario final, me refiero al Phishing.
Como extracto de Wikipedia podemos resumir que el Phishing se define como la acción fraudulenta de suplantar la identidad de un elemento de confianza (ya sea un usuario, marca o empresa) con el objetivo de adquirir información. En términos simples: El atacante intenta engañar a la victima para que le brinde datos privados (los cuales pueden ser contraseñas, información bancaria o información confidencial).
Debido a que es poco común que los usuarios reciban concientización en materia de seguridad de la información, los delincuentes usan ampliamente este tipo de ataques ya que en ocasiones les resulta más fácil engañar a la victima que hacer uso de tecnología para lograr su cometido.
Desde mi particular punto de vista, considero que el proceso de Phishing esta dividido en 3 etapas las cuales defino como: Señuelo, Redirección y Robo de datos.
A continuación se muestran estas etapas tomando como referencia un ejemplo real de Phishing dirigido a usuarios de la banca en línea de BBVA Bancomer de México.
Señuelo: En primera instancia, los atacantes envían correos de manera masiva con una falsa notificación de seguridad la cual supuestamente proviene de una entidad bancaria. Generalmente el contenido del correo contendrá alguno de los siguientes mensajes:
- Adeudos o pagos pendientes.
- Bloqueo de la cuenta bancaria por fines de seguridad.
- Notificación de recepción de depósitos por fuertes sumas de dinero.
- Notificación de actualización de la infraestructura de seguridad del banco, entre otros.
Sin importar el contenido, el correo intentará convencer al usuario para que acceda a la banca en línea para tomar acciones correctivas, ya que de lo contrario, tendrá problemas con su cuenta. Es importante comentar que en este paso la intención del atacante es que el usuario haga clic en algún vinculo dentro del contenido del correo, esto debido a que dicho vinculo llevará al usuario a un portal bancario falso.
A continuación se muestran imágenes relacionadas con esta etapa:
Correo suplantando a la entidad bancaria.
Contenido del correo incitando al usuario a dar clic en un vinculo.
Como se puede apreciar en las imágenes anteriores, existen dos vínculos con las características arriba descritas.
Redirección: Una vez que el usuario ha dado clic en uno de los enlaces del correo, será dirigido a un portal fraudulento que tiene la misma apariencia que el original. Este sitio Web fraudulento está diseñado de tal manera que enviará al atacante los datos de acceso que el usuario escribe cuando intenta acceder a su cuenta bancaria,
A continuación se muestra una captura de pantalla que ejemplifica esta etapa.
Correo suplantando a la entidad bancaria
A simple vista, la imagen anterior muestra una replica idéntica al portal original de http://www.bancomer.com, sin en cambio, se pueden observar ciertos detalles como por ejemplo:
- En el recuadro de color rojo se observa que es un dominio totalmente diferente al bancario.
- Se aprecia que el sitio no hace uso de mecanismos de cifrados de datos como SSL.
Robo de datos: Esta es la etapa mas importante para el atacante, esto debido a que todo dato que el usuario ingrese será capturado y enviado de manera oculta al atacante. A continuación ejemplos de esta etapa.
Menú para el acceso a clientes.
Solicitud de credenciales de acceso a la banca en línea.
(Se pide número de tarjeta, contraseña y Token de acceso).
Justo después de introducir esta información, se mostrará en pantalla un mensaje en el que se informa que la cuenta tiene problemas de acceso y que el usuario debe “sincronizar” o “desbloquear” el acceso por medio de nuevas instrucciones.
Pantalla que muestra problemas con el ingreso al sistema.
El motivo de que aparezcan las “nuevas instrucciones” es porque el atacante conoce los controles que Bancomer ha implementado para reducir los fraudes electrónicos. A continuación se indican los controles actuales y la manera en la que son sobrepasados:
- En caso de querer realizar transferencias a cuentas ajenas a las del titular, Bancomer solicita realizar un “registro interbancario”, esto se tiene que hacer aun cuando el usuario se haya autenticado satisfactoriamente en la banca en línea. Para realizar este registro es requerido ingresar los últimos 5 dígitos de la cuenta destino en el Token con lo que serán generan los “códigos” apropiados y se pueda integrar la cuenta externa como autorizada.
- A pesar de que el “registro interbancario” se haya realizado correctamente, Bancomer requiere un código adicional llamado “código de operaciones”. Este código tiene como objetivo corroborar que la persona que realiza la transacción cuenta con el Token apropiado y el código autorizado para retirar efectivo de la cuenta bancaria.
Como se observa, los mecanismos de Bancomer están diseñados para intentar reducir retiros de dinero de manera no autorizada, lamentablemente nada se puede hacer cuando es el propio usuario quien brinda esta información al atacante. Teniendo como base los dos puntos anteriores, a continuación se muestran los pasos con pantallas mostrando lo que el atacante realiza para obtener los datos confidenciales.
1.- Inicialmente el atacante debe identificar el tipo de Token que el usuario tiene, para ello solicita al usuario indicar el dispositivo que usa.
Identificación del Token del usuario.
2.- Posterior a que el usuario selecciona su tipo de dispositivo, le será solicitado introducir 5 dígitos en el Token (¿coincidencia?). Al usuario le es indicado que estos pasos son requeridos para reactivar su banca en línea. En mi caso elegí el dispositivo de la derecha.
Instrucciones para “reactivar” el servicio bancario.
3.- Posterior a dar clic en el botón “Continuar”, se mostrará en pantalla un mensaje solicitando esperar unos segundos con el supuesto objetivo de corroborar que la información es correcta. Lo que ocurre realmente, es que el atacante procede a registrar la cuenta externa a la cual transferirá el dinero.
Mensaje solicitando esperar unos segundos.
4.- Como último paso, se mostrará en pantalla una mensaje solicitando un código del Token, dicho código es el cual previamente me referí como de “código de operaciones”.
Solicitud de código de operaciones.
5.- Cuando el usuario brinda este último dato y le da clic al botón “Continuar”, habrá compartido toda la información requerida para que el atacante pueda transferir todo el dinero a una cuenta externa.
Para no causar sospecha inmediata, se le mostrará al usuario un mensaje de “error” indicando que el proceso no se culmino adecuadamente y que tendrá que repetirlo. Acto seguido será dirigido al portal verdadero de Bancomer en el que posterior a autenticarse verá con tristeza que todos sus ahorros han desaparecido.
Error indicando problemas durante el proceso.
No cabe duda que los ciberdelincuentes están permanentemente buscando alternativas para evitar los controles de seguridad, en este caso se observa que por medio de engaños pueden llegar a obtener información confidencial requerida para cometer delitos vía la banca electrónica.
Información adicional: Como dato extra, identifique que el servidor Web en el que fue montada la página de Phishing había sido comprometido. Los servidores vulnerables son los preferidos por los delincuentes para estos fines, esto se debe a que por medio de ellos se envían los correos masivos de señuelo, se monta el portal falso y al mismo tiempo (con las adecuadas precauciones) reducen la posibilidad de ser rastreados.
Servidor Web comprometido. 
Recuerda que si la información fue de tu agrado, no olvides compartirla con tus colegas. Si deseas estar al tanto de noticias similares, súmate a mis redes sociales dando Like en Facebook (bit.ly/GF0SSec) y siguiéndome en Twitter (http://twitter.com/oblituary).
Seguridad Informática. 