Tag engaño

¿Cómo lograron unos estafadores un ataque MitM y la omisión de la 2FA en… 1915?

Los investigadores de ciberamenazas han estado dando la voz de alarma sobre el creciente peligro de los deepfakes. En concreto, aconsejan a los usuarios que ni siquiera confíen en lo que escuchan: en la era digital de la inteligencia artificial, la voz al otro lado de la línea puede no pertenecer a quien crees. Por cierto, ¿alguien adivina a qué le temía la gente hace más de cien años? En esa era mecánica del descubrimiento científico, desconfiaban de sus propios oídos. Después de todo, ¿cómo podían saber que la voz al otro lado de la línea era realmente de quien pensaban? Tiene sentido, ¿verdad? De hecho, solo tienes que echar un vistazo al caso de robo de identidad representado en una película filmada en 1915 que usa una tecnología entonces sofisticada para robar dinero de una cuenta bancaria. Bienvenido al mundo del serial de cine mudo francés Les Vampires.

Les vampires

Un pequeño spoiler: si estabas esperando a esos monstruos sobrenaturales chupadores de sangre, sentimos decepcionarte. El personaje principal, el periodista Philippe Guérande, se enfrenta a una atrevida banda criminal que se autodenomina “los vampiros”. A pesar de su antigüedad, la película tiene mucho que ofrecer en términos de seguridad de la información. Solo tienes que fijarte en la primera escena, que ilustra por qué el acceso de terceros a los documentos corporativos debe estar prohibido.

Los propios vampiros llaman la atención por su uso de lo que entonces se consideraban métodos de alta tecnología. Una gran parte del episodio 3 (Le Cryptogramme Rouge) está dedicada al criptoanálisis: Guérande busca patrones en las notas cifradas de los villanos. Mientras que el episodio 7 (Satanus) está basado en un intento de copiar la identidad de otro. Pero ¿cómo puede alguien lograr este robo de identidad armado únicamente con tecnología de principios del siglo XX?

Un robo de identidad en 1915

En pocas palabras, la estrategia criminal es la siguiente: los vampiros se enteran de que el magnate estadounidense George Baldwin está de viaje en París, donde deciden quitarle parte de su dinero. Para ello, idean un ataque de varias etapas. Primero, se las arreglan para que una de los suyos, Lily Flower, entreviste al millonario haciéndose pasar por una periodista de la revista Modern Woman. La delincuente convence a Baldwin para que escriba unas cuantas palabras en un cuaderno y añada la fecha y su firma poniendo de excusa que su revista publica todos los meses la cita de una celebridad.

A continuación, una vendedora que afirma ser de Universal Phonograph Company visita al millonario con una nueva pieza mágica de la tecnología: un fonógrafo real, el primer dispositivo capaz de grabar y reproducir sonido. La vendedora le explica a Baldwin que es política de empresa grabar las voces de las personas famosas que visitan París. Cayendo en la trampa, dicta la única frase que puede pronunciar en francés: “Las mujeres parisinas son las más encantadoras que he visto en mi vida” y agrega “¡Sí, señor!” en ingles al final.

A partir de aquí queda revelada la naturaleza completa de la estafa al espectador. El propósito de la primera etapa era, por supuesto, robar la firma del magnate. Debajo de la hoja en la que Baldwin dejó su autógrafo había una especie de papel de calco que capturaba debidamente la firma y fecha. Encima de esto, los delincuentes escriben una orden falsa que obliga al New American Bank a pagar a Lily (la periodista) la suma de 100.000 dólares estadounidenses (una suma importante hoy en día, así que ¡imagínate su valor hace un siglo!).

Después, secuestran a la telefonista del hotel de Baldwin y envían a otra cómplice en su lugar con una nota: “Estoy enferma, envío a mi prima para que me sustituya”. La gerencia del hotel se traga este truco primitivo y pone a la desconocida a cargo del teléfono.

Mientras tanto, Lily se dirige al banco con la orden de pago falsa. El cajero decide verificar la legitimidad de la transacción y llama al hotel donde se hospeda Baldwin. Allí, la operadora falsa reproduce la grabación del millonario pronunciando su eslogan, que acaba por convencer al cajero.

¿Es realmente factible esta estrategia?

Todo suena muy simple, ¿verdad? ¿Cómo diablos iba a conocer un cajero parisino de un banco estadounidense en 1915 la firma, y mucho menos la voz, de un millonario estadounidense? Por no hablar del hecho de que las líneas telefónicas de por aquel entonces probablemente habrían distorsionado la voz quedando irreconocible. Dicho esto, en sí es una implementación clásica de un ataque de intermediario (MitM): el cajero está seguro de que la voz pertenece a Baldwin, quien a su vez piensa haber proporcionado un mensaje a la “compañía de fonógrafos”.

Además, la película muestra cómo evitar una 2FA, con el robo de la firma y la confirmación de voz falsa. Claro, todo esto ahora se hace usando tecnologías digitales, pero el escenario de ataque central sigue siendo el mismo. Por tanto, las principales contramedidas podrían haberse formulado hace más de un siglo:

• No dar acceso a personas ajenas a los canales de comunicación (operador falso).
• No compartir datos personales confidenciales con nadie, nunca (firma y biometría de voz).
• En caso de duda, comprobar minuciosamente la legitimidad de la instrucción (la frase “las mujeres parisinas son las más encantadoras que he visto en mi vida” no es la verificación más sólida).

Ahora, puedes seguir esta maravillosa serie de películas en Wikipedia. Sin embargo, si tus empleados no están listos para seguir los consejos de ciberseguridad del cine mudo, te recomendamos que utilices nuestra plataforma interactiva Kaspersky Automated Security Awareness Platform en su lugar.

Fuente: www.latam.kaspersky.com

Un engaño a través de WhatsApp suplanta la identidad de Carrefour para hacerle creer a los usuarios que por su aniversario están regalando tarjetas con $19.800.

Un nuevo engaño está circulando a través de WhatsApp en el que los delincuentes utilizan la imagen de Carrefour para hacer creer a los usuarios que la cadena multinacional está regalando tarjetas con dinero. El objetivo de esta campaña de ingeniería social es derivar tráfico a sitios que muestran publicidad de manera engañosa.

Como se observa en la imagen a continuación, el mensaje busca transmitir la sensación de urgencia para que las potenciales víctimas no pierdan tiempo y hagan clic en el enlace que les permitirá acceder a una de las 500 tarjetas con $19.800 que Carrefour está regalando por su aniversario. Sin embargo, si el usuario se toma un tiempo para analizar el mensaje encontrará elementos para dudar acerca de la legitimidad del mensaje. Por ejemplo, que la URL a la que invitan a acceder no se corresponde con la del sitio oficial de la empresa.

Análisis del engaño

Tras acceder al enlace con el objetivo de conocer el alcance del engaño, nos encontramos con un sitio que, además de reforzar el mensaje de la supuesta promoción, incluye un contador que comienza a descender y va indicando la cantidad de tarjetas que supuestamente quedan por regalar. El objetivo de esta estrategia es convencer a la potencial víctima para que acceda rápidamente al sitio y que no lo piense demasiado. Un detalle que evidencia que se trata de un engaño es que si la página es actualizada la cantidad de tarjetas disponibles vuelve a subir.

Por otra parte, el mensaje indica que para acceder a una de las tarjetas que supuestamente Carrefour está entregando con motivo de su aniversario se deberá completar una encuesta.

Imagen 3. Encuesta que supuestamente deberán responder los usuarios.

Luego, si el usuario aún sin darse cuenta del engaño responde las preguntas y continúa en el sitio se encontrará con el siguiente mensaje indicando que se están validando las respuestas.

Culminado el proceso de verificación, tal y como se observa en la Imagen 5, el usuario no solo es víctima del engaño, sino que es utilizado para distribuir el mensaje fraudulento: la campaña obliga a que comparta con sus contactos el mensaje si desea continuar y acceder al beneficio.

Luego de haber compartido el mensaje, acción que en algunos casos provoca que el remitente baje la guardia al recibir el mensaje por parte de un conocido, el usuario es redireccionado a distintos sitios de publicidad. A partir de aquí deja de aparecer cualquier referencia a la supuesta promoción de la tarjeta de regalo. Por lo tanto, entendemos que los operadores detrás de la campaña buscan monetizar el engaño a través del envío de tráfico a páginas en las que se despliega publicidad y que no verifican si el tráfico que llega es redirigido de manera engañosa.

Vale la pena destacar que durante el análisis no detectamos que se intente instalar en los dispositivos algún tipo de código malicioso. Por otra parte, sí detectamos que la campaña apunta no solo a países en los que se habla castellano, sino que su alcance es mayor dado que existe una versión del mensaje de WhatsApp en inglés.

Como se observa en la Imagen 7, el enlace lleva a los usuarios a un sitio similar a la campaña en español y también invita a realizar una encuesta para acceder al beneficio.

Por si fuera poco, existe una adaptación de la versión en inglés del sitio dirigida a usuarios de Brasil. El mensaje en este caso está en inglés, pero el detalle del monto del supuesto beneficio se expresa en reales. Esto además se puede corroborar con la configuración de idioma que aparece en la URL del sitio (br-br), donde se incluye la extensión de dominio correspondiente a Brasil.

Información del dominio

El dominio utilizado para estos ataques fue registrado hace algunos meses, aparentemente en Panamá, y hace uso del servicio de privacidad de los datos del responsable, por lo que no aparece prácticamente información del propietario.

Recomendaciones

Para evitar ser víctimas de este tipo de engaño que llegan a través de WhatsApp o similar y en los que se suplanta la identidad de una marca conocida mediante el uso de técnicas de ingeniería social, es importante que los usuarios estén atentos y aprendan a reconocer este tipo de mensajes fraudulentos antes de hacer clic o compartir. En este sentido, se recomienda tomarse unos segundos para revisar detalladamente la URL del mensaje y verificar que es legítima y no una URL falsa, hacer una búsqueda en la web oficial para verificar que se menciona el beneficio al que hace referencia el mensaje que nos llega o si hay más información sobre la promoción.

También es importante desconfiar de las ofertas que son demasiado buenas y que llegan a través de medios no oficiales. Tener presente que las empresas suelen divulgar ofertas y promociones a través de canales oficiales, ya sea el sitio web o las redes sociales. Evite también hacer clic en enlaces sospechosos, aunque vengan de alguien que usted conozca. Como vimos en este artículo, la campaña se distribuye gracias a que los propios usuarios comparten el mensaje con sus contactos.

Por último, instale una solución de seguridad en cada uno de los dispositivos conectados a Internet que utiliza, mantenga sus dispositivos actualizados y evite compartir información, enlaces o archivos sin estar seguros de su procedencia.

Para más información, recomendamos la lectura de la guía para evitar engaños en Internet.

Fuente: www.welivesecurity.com