- Noticias relacionadas
- Otras noticias
Desbordamiento de búfer en Windows Media Player
"Bagle.b", nuevo gusano de propagación masiva
Obligatorio actualizarse a Windows Live Messenger 8.1.jpg)
Caja Madrid sufre un nuevo intento de phishing
El riesgo en las comunicaciones de mensajería instantánea.jpg)
Ejecución de código por desbordamientos de buffer en WinZip.jpg)
La Policía realiza registros en los domicilios de presuntos colaboradores del creador del gusano 'Sasser'
España es el país desde el que se enviaron un mayor número de correos de phishing en 2007
Internet puede inmunizarse contra los virus
La seguridad de Windows Vista en la mira
- En el foro
Sexo, troyanos, y phishing
Apuntan a un banco chino en una estrategia de 'phishing'-
phishing
Phishing kits, ataques segmentados y negocios en auge
07 Mar 2006 | HISPASEC.COM
Mientras sea posible generar ingresos mediante phishing, esta forma de fraude estará presente. Actualmente, el phishing probablemente esté en la cresta de la ola, con una presencia cada vez más notoria de estos elementos de ataque en nuestro día a día. La incorporación de más usuarios y proveedores a los canales electrónicos es un caldo de cultivo donde se dan cita además, la continua aparición de vulnerabilidades y malware que hacen que el phishing sea un negocio fácilmente desplegable.
Otras claves para comprender el espectacular auge del problema,
redundando nuevamente en la rentabilidad, están en el empleo de técnicas de análisis por parte de los ejecutores que pretenden que la efectividad de los ataques sea mayor. Es lo que definimos como phishing segmentado, técnicas que pretenden personalizar al máximo los ataques escogiendo los segmentos poblacionales más propensos, a priori, a caer en la trampa. Es frecuente hallar ataques orientados a clientes específicos de entidad específicas, con perfiles demográficos muy seleccionados y donde hay estudios previos al lanzamiento de los ataques, con el fin de ajustar el modelo de fraude a las debilidades del público objetivo. Con esto no sólo se consigue sigilo, al ser mucho menores los impactos, sino que al ser impactos de más calidad, se maximizan beneficios.
Adicionalmente, otra rama de actividad está en el comercio y
distribución de los kits de phishing, motivo principal de este pequeño artículo. Datos recientes demuestran que las ventas de este tipo de material están alcanzando cotas máximas, lo cual tiene su lógica: si el phishing es rentable, ¿por qué no "franquiciar" el modelo? ¿por qué no comprar un kit y explotar el filón?
¿Qué es un kit de phishing? Un kit de phishing es ni más ni menos que un conjunto de herramientas y documentación para que una persona con escasas nociones técnicas pueda montar un ataque phishing en cuestión de minutos. Si pensamos en el mecanismo de un sistema de phishing tradicional, los elementos que podría contener un kit serían las plantillas de los correos fraudulentos a enviar, listados de correo para los envíos y plantillas web para colgar en un servidor la página de acceso falsificada. Los kits suelen facilitar no sólo espacio web para colocar los formularios falsos, sino completas instrucciones para modificar las plantillas y para recibir la información sustraída. En algunos casos es habitual encontrar documentación técnica sobre cómo blanquear el capital sustraído, y cómo reclutar mulas para que operen con los datos capturados. No menos frecuente es que los kits incluyan plantillas de spam específicas para reclutar a las mulas, ofreciendo a cambio suculentos ingresos bajo la vitola de "trabaje en casa".
Y todo esto por precios módicos, que muchas veces no superan los 200 euros. Según estudios como los de Websense Security Labs, hay un kit especialmente popular, llamado "Rock Phish Kit". Este kit se caracteriza por tener plantillas para importantes sitios de banca y comercio electrónico, como Alliance & Leicester, Barclays, Citibank, Deutsche Bank, eBay y Halifax. Además, el kit proporciona servicios "de valor añadido" a los atacantes. Es un claro ejemplo de que el phishing se está enfocando muy claramente como una actividad empresarial, indeseable y fraudulenta, pero con todos los ingredientes de una actividad como otra cualquiera que pretenda maximizar cuotas de mercado e ingresos. Esto es un claro indicativo de que el fraude telemático es un problema de una escala muy importante, y que está siendo conducido por personal cualificado, con conocimientos que van mucho más allá que el técnico y con una clara vocación de generar ingresos.
Los sitios dispuestos con "Rock Phish Kit" se caracterizan por el
empleo de direcciones IP y nombres de dominio fraudulento, por la presencia de la secuencia /rock/ o /r/ en la URL y un código
alfanumérico que identifica a la entidad cuya identidad se suplanta. Así pues, una URL del tipo http://www.rockphishtest.com/rock/a/
contendrá habitualmente un phishing contra Alliance & Leicester. La secuencia /b/ es para Barclays, y así para todas las plantillas tipo. El kit proporciona además scripts PHP para la captura de datos, hospedaje en sitios asiáticos y código javascript para adulterar las barras del navegador e impedir, por ejemplo, la posibilidad de copiar y pegar mediante teclado. El comprador del kit, por tanto, tiene muy fácil montar su propio ataque con una herramienta como la descrita.
El phishing es un problema muy grave. No sólo por los ataques
segmentados, no sólo por los negocios colaterales como los kits de phishing, el empleo de mulas y las redes de blanqueo. El phishing está especializándose y los ataques son cada vez más elaborados. Prueba de la ejecución técnica refinada de un ataque es el caso de Mountain America, una conocida entidad norteamericana. No menos interesante es la prueba de concepto que habilitamos tiempo atrás en Hispasec Sistemas, donde se conseguía, mediante Cross-Site Scripting, generar un ataque phishing con la URL y el certificado legítimo de un banco.
Existen indicios notorios de colaboración en las redes de fraude que van mucho más allá de la segregación de funciones: diversos estudios apuntan a que, con la puesta en circulación de kits, no sólo se genera ingreso por la venta, sino que además, hay grupos que dan soporte a los atacantes primerizos, los cuales reciben nociones y apoyo a cambio de la compartición de beneficios.
La investigación para frenar la actividad es frenética. Comprender las técnicas y plantear mecanismos proactivos y reactivos ante este tipo de amenazas es una carrera que parece no tener fin. Cuando se controlan el grueso de las amenazas, aparecen variantes que hacen que haya que replantearse todo el modelo. Y eso no es una buena noticia, por desgracia.
Más Información:
Websense Security Labs. Increased deployment of Phishing Kits
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=433
El caso Mountain America. Análisis de un ataque phishing casi
perfecto.
http://www.sahw.com/wp/archivos/2006/02/14/analisis-de-un-ataque-phishing-casi-perfecto/
Wikipedia: Definición de phishing
http://es.wikipedia.org/wiki/Phishing
Anti-Phishing Working Group. Datos de Diciembre de 2005
http://www.antiphishing.org/reports/apwg_report_DEC2005_FINAL.pdf - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
