• Registrarse
  • Iniciar sesión


  • Resultados 1 al 1 de 1

    Phishing kits: ataques segmentados y negocios en auge...

    El phishing, como bien sabemos, es un negocio en continuo auge. Las clave del éxito de este tipo de delito telemáticos está, como hemos comentado en repetidas ocasiones en "una-al-día", en la rentabilidad de los ...

          
    1. #1
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Mensaje Phishing kits: ataques segmentados y negocios en auge...

      El phishing, como bien sabemos, es un negocio en continuo auge. Las
      clave del éxito de este tipo de delito telemáticos está, como hemos
      comentado en repetidas ocasiones en "una-al-día", en la rentabilidad
      de los ataques.

      Mientras sea posible generar ingresos mediante phishing, esta forma de
      fraude estará presente. Actualmente, el phishing probablemente esté en
      la cresta de la ola, con una presencia cada vez más notoria de estos
      elementos de ataque en nuestro día a día. La incorporación de más
      usuarios y proveedores a los canales electrónicos es un caldo de
      cultivo donde se dan cita además, la continua aparición de
      vulnerabilidades y malware que hacen que el phishing sea un negocio
      fácilmente desplegable.

      Otras claves para comprender el espectacular auge del problema,
      redundando nuevamente en la rentabilidad, están en el empleo de
      técnicas de análisis por parte de los ejecutores que pretenden que la
      efectividad de los ataques sea mayor. Es lo que definimos como
      phishing segmentado, técnicas que pretenden personalizar al máximo los
      ataques escogiendo los segmentos poblacionales más propensos, a
      priori, a caer en la trampa. Es frecuente hallar ataques orientados a
      clientes específicos de entidad específicas, con perfiles demográficos
      muy seleccionados y donde hay estudios previos al lanzamiento de los
      ataques, con el fin de ajustar el modelo de fraude a las debilidades
      del público objetivo. Con esto no sólo se consigue sigilo, al ser
      mucho menores los impactos, sino que al ser impactos de más calidad,
      se maximizan beneficios.

      Adicionalmente, otra rama de actividad está en el comercio y
      distribución de los kits de phishing, motivo principal de este pequeño
      artículo. Datos recientes demuestran que las ventas de este tipo de
      material están alcanzando cotas máximas, lo cual tiene su lógica: si
      el phishing es rentable, ¿por qué no "franquiciar" el modelo? ¿por qué
      no comprar un kit y explotar el filón?

      ¿Qué es un kit de phishing? Un kit de phishing es ni más ni menos que
      un conjunto de herramientas y documentación para que una persona con
      escasas nociones técnicas pueda montar un ataque phishing en cuestión
      de minutos. Si pensamos en el mecanismo de un sistema de phishing
      tradicional, los elementos que podría contener un kit serían las
      plantillas de los correos fraudulentos a enviar, listados de correo
      para los envíos y plantillas web para colgar en un servidor la página
      de acceso falsificada. Los kits suelen facilitar no sólo espacio web
      para colocar los formularios falsos, sino completas instrucciones para
      modificar las plantillas y para recibir la información sustraída. En
      algunos casos es habitual encontrar documentación técnica sobre cómo
      blanquear el capital sustraído, y cómo reclutar mulas para que operen
      con los datos capturados. No menos frecuente es que los kits incluyan
      plantillas de spam específicas para reclutar a las mulas, ofreciendo a
      cambio suculentos ingresos bajo la vitola de "trabaje en casa".

      Y todo esto por precios módicos, que muchas veces no superan los 200
      euros. Según estudios como los de Websense Security Labs, hay un kit
      especialmente popular, llamado "Rock Phish Kit". Este kit se
      caracteriza por tener plantillas para importantes sitios de banca y
      comercio electrónico, como Alliance & Leicester, Barclays, Citibank,
      Deutsche Bank, eBay y Halifax. Además, el kit proporciona servicios
      "de valor añadido" a los atacantes. Es un claro ejemplo de que el
      phishing se está enfocando muy claramente como una actividad
      empresarial, indeseable y fraudulenta, pero con todos los ingredientes
      de una actividad como otra cualquiera que pretenda maximizar cuotas de
      mercado e ingresos. Esto es un claro indicativo de que el fraude
      telemático es un problema de una escala muy importante, y que está
      siendo conducido por personal cualificado, con conocimientos que van
      mucho más allá que el técnico y con una clara vocación de generar
      ingresos.

      Los sitios dispuestos con "Rock Phish Kit" se caracterizan por el
      empleo de direcciones IP y nombres de dominio fraudulento, por la
      presencia de la secuencia /rock/ o /r/ en la URL y un código
      alfanumérico que identifica a la entidad cuya identidad se suplanta.
      Así pues, una URL del tipo http://www.rockphishtest.com/rock/a/
      contendrá habitualmente un phishing contra Alliance & Leicester. La
      secuencia /b/ es para Barclays, y así para todas las plantillas tipo.
      El kit proporciona además scripts PHP para la captura de datos,
      hospedaje en sitios asiáticos y código javascript para adulterar las
      barras del navegador e impedir, por ejemplo, la posibilidad de copiar
      y pegar mediante teclado. El comprador del kit, por tanto, tiene muy
      fácil montar su propio ataque con una herramienta como la descrita.

      El phishing es un problema muy grave. No sólo por los ataques
      segmentados, no sólo por los negocios colaterales como los kits de
      phishing, el empleo de mulas y las redes de blanqueo. El phishing está
      especializándose y los ataques son cada vez más elaborados. Prueba de
      la ejecución técnica refinada de un ataque es el caso de Mountain
      America, una conocida entidad norteamericana. No menos interesante es
      la prueba de concepto que habilitamos tiempo atrás en Hispasec
      Sistemas, donde se conseguía, mediante Cross-Site Scripting, generar
      un ataque phishing con la URL y el certificado legítimo de un banco.
      Existen indicios notorios de colaboración en las redes de fraude que
      van mucho más allá de la segregación de funciones: diversos estudios
      apuntan a que, con la puesta en circulación de kits, no sólo se genera
      ingreso por la venta, sino que además, hay grupos que dan soporte a
      los atacantes primerizos, los cuales reciben nociones y apoyo a cambio
      de la compartición de beneficios.

      La investigación para frenar la actividad es frenética. Comprender las
      técnicas y plantear mecanismos proactivos y reactivos ante este tipo
      de amenazas es una carrera que parece no tener fin. Cuando se
      controlan el grueso de las amenazas, aparecen variantes que hacen que
      haya que replantearse todo el modelo. No sólo desde el punto de vista
      que tenemos en Hispasec como empresa dedicada a la investigación del
      fraude y el despliegue de servicios antifraude, sino desde todas las
      ópticas: la jurídica, la policial, la que tienen las entidades que
      sufren los ataques, la óptica del usuario, la de los grupos de lucha
      contra el fraude, la de los proveedores de servicios, etc. Con la
      desventaja de que la flexibilidad y la capacidad de adaptación a este
      entorno turbulento de los grupos de crimen organizado es generalmente
      superior a la del grueso de participantes del canal.

      Y eso no es una buena noticia, por desgracia.El caso Mountain America. Análisis de un ataque phishing casi
      perfecto.
      http://www.sahw.com/wp/archivos/2006...casi-perfecto/

      Wikipedia: Definición de phishing
      http://es.wikipedia.org/wiki/Phishing

      Anti-Phishing Working Group. Datos de Diciembre de 2005
      http://www.antiphishing.org/reports/...2005_FINAL.pdf
      Fuente
      Última edición por kontainer fecha: 27/03/06 a las 11:31:24