Skip to content

La venta ilegal de software y la conexión con el blanqueo de capitales

Publicado por Sergio Hernando el 29 enero 2008

Hola a todos,

En numerosas ocasiones, cuando nos referimos a la cadena crimen organizado, delitos tecnológicos y prevención de blanqueo de capitales, hablamos de spam. A mí el spam me preocupa bastante, porque tengo la sensación de que por cultura y por longevidad de esta amenaza, el spam se ha quedado infravalorado, identificándose únicamente con la molestia de recibir basura en el correo. La escasa cobertura que dan los medios al spam ha contribuído a que la gente, en general, entienda que el spam es sólo cuestión de borrar mensajes no deseados de la bandeja de entrada, y nada más lejos de la realidad.

El spam es una herramienta muy utilizada para muchas actividades delictivas. Una de ellas es dar a conocer a los usuarios la existencia de determinados comercios online, que realmente son tapaderas cuya única finalidad es acabar recuperando nuestros datos para seguir la cadena delictiva. En otras ocasiones, las tiendas online de este tipo se emplean para lavar dinero procedente de otras actividades ilegítimas. En este ejemplo real que vamos a documentar, se emplea una tienda no legítima con la finalidad de sustraer los datos operativos de tarjeta de crédito del usuario.

Estos datos de tarjetas posteriormente se suelen emplear para blanquear capitales, y es que en contra de lo que podamos imaginar, los autores de estos montajes no son usuarios particulares que correrán a darse un capricho con nuestra tarjeta recién robada. Hablamos de crimen organizado, y los datos sustraídos se utilizarán para muchas cosas: para efectuar compras y blanquear capital, generalmente procedente de asuntos turbios como la extorsión, el terrorismo o el robo de credenciales, por citar algunos ejemplos, o bien para ser incorporadas a bases de datos operadas por siniestros personajes, que algún día decidirán darle un uso ajeno al deseable.

El correo gancho

Los correos gancho son muy variables. Los correos elaborados y bonitos son efectivos en términos de marketing, pero lastran demasiado a los servidores de envío de spam y dan demasiadas pistas a los mecanismos antispam. Además, los autores de estas estafas conocen bien que por muy malo que sea el correo gancho, más de uno acabará picando. Es normal que se simultaneen envíos elaborados (spam de calidad) con spam poco elaborado (de análisis) para así poder determinar:

a) Ratios de eficiencia en la entrega de correo en función del tipo de mensaje emitido
b) Técnicas para que los servidores antispam no corten los mensajes entrantes y lleguen a las víctimas potenciales
c) Ratios de conversión (relación entre spam enviado y credenciales sustraídas)
d) Cadenas mail basura - mail impacto, en las que se purgan bases de datos para ser sometidas después a envíos personalizados y segmentados con alta probabilidad de impacto.

spam

Este ejemplo que véis es lo que podemos denominar spam poco elaborado, y huelga explicar los motivos. No obstante, es efectivo, ya que no lo ha cortado el servidor antispam, con lo que el primer objetivo está cumplido. Obviamente, la calidad como gancho es más que discutible, aunque os puedo asegurar que el público receptor de spam tiene tantos y tan variados comportamientos que no se puede dar por sentado de entrada que nadie visitará el enlace que aparece emborronado.

De todos modos, este mensaje es aparentemente la antesala a un spam de calidad que no incluirá los destinatarios filtrados que se eliminen en el proceso de depuración del spam (mensajes rechazados, correos no contestados). Y además de ayudar a filtrar, el mensaje es en sí una trampa que está accesible a gente curiosa o interesada que los convierte en víctimas potenciales.

La tienda online

La verdad es que los sitios de venta online fraudulentos están mejorando mucho en términos de calidad.

tienda fraudulenta

Los ganchos que se emplean habitualmente, además de un cuidado aspecto gráfico, son la falsa sensación de tienda normal, ya que está montada en HTTPS, con su "candadito" y toda la parafernalia, sección de contacto, mapa de web, carrito de la compra etc. Y como colofón, encima contiene grandes ofertas irresistibles para el usuario:

tienda fraudulenta

La (presunta) compra

Una vez hemos seleccionado lo que queremos comprar, pasamos por caja. Como no podía ser de otro modo, el clásico formulario:

tienda fraudulenta

El formulario tiene un comportamiento curioso. La primera vez que introducimos datos, aparece una pantalla del tipo "su transacción no ha podido ser completada", reinténtelo de nuevo en 20 minutos empleando otra tarjeta de crédito. Es notorio que, al menos en este caso, hay controles de validación preestablecidos, como longitud de la PAM de la tarjeta y longitud del CVV, pero sin embargo, en un evento de transacción fallida, no se detalla que hemos introducido datos erróneos. Simple y llanamente, hay un error.

A partir de aquí, no importa lo que pogamos en el formulario, siempre dirá que la tarjeta introducida es inválida (sin pasar por pasarela de verificación alguna). El objetivo es que el usuario crea que su tarjeta no funciona, e introduzca datos de otra tarjeta. Cuantas más mejor.

tienda fraudulenta

Muchos usuarios pensarán que la tienda no funciona. Apagarán el ordenador, se acostarán o se irán a dar una vuelta, y probarán mañana. Es muy probable que cuando vuelvan a usar su tarjeta, haya cargos ya efectuados por parte de los atacantes, y si la tarjeta tiene límites elevados, a buen seguro nos habrán hecho un pequeño agujero. También es probable que no notes movimiento alguno, y que tus datos pasen a una base de datos de los atacantes, que un buen día necesitarán blanquear dinero, y harán compras con tu tarjeta. Sea como fuere, cada vez que has pulsado el botón "enviar" del formulario, una petición HTTP POST ha llevado por correo (mailer en PHP en este caso) tus datos a los malos de la película.

Ni que decir tiene que atrás quedan comprobaciones como que el dominio de la tienda fue registrado hace dos días (qué rápido habilitan un negocio, eh), que la presunta pasarela de pago es sólo un script montado en HTTPS y que no hay más contenidos en ese otro dominio (también registrado recientemente) y que los datos de contacto son falsos. Lo previsible.

Las tarjetas robadas y el blanqueo de capitales

Tal y como comentábamos, la intención de robar números de tarjeta no es otra que blanquear capitales. En este tipo de comercios online podemos tener dos vertientes principales de funcionamiento:

a) Tiendas fraudulentas, como la mostrada, en la que se pretende recoger información financiera de usuarios para ser usada posteriormente en actividades de blanqueo.

b) Tiendas con productos muy rebajados, donde se ofrece realmente software muy rebajado, y donde finalmente se produce una compraventa. En este caso el software adquirido ha sido comprado previamente por los atacantes, empleando tarjetas o credenciales bancarias robadas. El objetivo en este caso es blanquear el capital procedente de otras actividades ilícitas, transformando el robo primario de credenciales en actividades de compraventa, más difícilmente trazables. El gancho para inducir a las compras muy rebajadas suele ser "compre que no pasa nada", lo cual no es cierto, ya que en muchas jurisdicciones adquirir productos robados siendo conscientes de que lo son es ilegal. España, y corríjanme los letrados, es uno de esos países. Esto tiene nombre y apellidos en el Código Penal: delito de receptación.

En estas tiendas suele haber una dualidad: yo pago con mi tarjeta un paquete de software que ha sido comprado con medios de pago robados, y por otro lado, la página recoge mis datos bancarios para usarlos en blanqueos posteriores. ¿O pensabas que ellos se iban a limitar sólo a venderte el software?

Mucho cuidado siempre con las ofertas y con este tipo de actividades. Recelar siempre de los chollos en la red es siempre garantía de éxito.

Be Sociable, Share!
13 comentarios
  1. 29 enero 2008

    Tate, justo hace unos minutos he recibido un correo de ¿Paypal? muy sospechoso. Con mis datos personales, pero yo siempre procuro no marcar casillas para evitar que me atosiguen con tonterías. Nunca hasta ahora había recibido una oferta de ellos, lo que me mosquea.

    Y sabedor de tu artículo a propósito de San Valentín, como para no ir con pies de plomo. Lo reproduzco por si acaso, prefiero pecar de paranoia.

    Por cierto, excelente anotación!

    ==================================================================

    PayPal

    ==================================================================

    Estimado(a) *****************************:

    Nos complace presentarles nuestras increíbles ofertas para regalar
    en año por San Valentín. Los mejores regalos para él y para ella
    en un solo clic y sin salir de casa.

    Pague con PayPal y comience a disfrutar ya de nuestras ideas
    que enamoran

    Flores, viajes, ropa, informática, perfumes, videojuegos, regalos
    personalizados…
    http://email1.paypal.es/*************

    Aproveche estas grandes ofertas hoy mismo.

    Atentamente,

    PayPal

    __________________________________________________________________

    Este correo electrónico se ha enviado a *************** porque
    ha marcado en sus preferencias de correo electrónico que desea
    recibir boletines de noticias periódicos y novedades de producto.
    Para eliminar esta subscripción y dejar de recibirlos, por favor
    pulse Modificar preferencias.
    http://email1.paypal.es/*****************

    PayPal (Europe) S.à r.l. et Cie, S.C.A.
    Société en Commandite par Actions
    Sede sociale: 22-24 Boulevard Royal, L-2449 Luxembourg
    RCS Luxembourg B 118 349

  2. 30 enero 2008

    Bueno, tras actualizar las reseñas nauscópicas, entro en mi cuenta Paypal. Verifico que no tengo tarjeta asignada, y el saldo está a cero, como ha de ser (cuando he de hacer una operación asigno una tarjeta de débito, que quito una vez se ha realizado, paranoico que es uno).

    Leo:

    “En PayPal, proteger la seguridad de su cuenta es nuestro principal objetivo. Últimamente, los usuarios de PayPal han informado de la existencia de correos electrónicos sospechosos y sitios Web falsos. Estos correos electrónicos no los envía PayPal y el hecho de responder puede poner en peligro la seguridad de su cuenta. Para proteger su cuenta PayPal, preste mucha atención a los correos electrónicos que recibe y a los sitios que visita.”

    Saludo: Los correos electrónicos de PayPal se dirigirán a usted por su nombre y apellidos o por el nombre de la empresa asociado a su cuenta PayPal. Los correos electrónicos fraudulentos suelen incluir el saludo “Estimado usuario de PayPal“.

    Si cree que ha recibido un correo electrónico fraudulento (o un sitio Web falso), reenvíe el correo electrónico (o la dirección URL) a correos_falsos#paypal.es y, a continuación, borre el correo electrónico del buzón. No pulse ningún vínculo o archivo adjunto de un correo electrónico sospechoso.

    Pues parece auténtico, pero yo diría que no autoticé a que me enviasen ofertas de compra. Miro en su política de privacidad, y dicen que pueden enviar encuestas pero no leo (lectura en diagonal) que me puedan vender nada. Hummm…

    Renviaré el correo a la cuenta de más arriba a ver qué dicen y lo replicaré aquí.

  3. 30 enero 2008

    Voy a contestar el correo desde el webmail y me pide que acepte un certificado de http://www.paypal-promo.es !!! Me niego, evidentemente.

    Huele muuu mal.

    Reenvío el correo a correos_falsos#paypal.es

    Si es falso ¿cómo han conseguido mi nombre? Mira que lo oculto, y más en esa cuenta. Alguna empresa que me ha vendido un objeto/servicio ha tenido alguna fuga, digo.

    Si alguien puede aclarar algo mientras esperamos la respuesta…

  4. 30 enero 2008

    maty,

    He recibido ese mismo correo que citas. Parece, a todas luces y por lo que he podido ver, un correo legítimo, y es una accion comercial para San Valentín orquestada por Paypal y alguno de sus socios, como BuyVip y compañía.

    La fea costumbre de PayPal de emplear el correo para actividades de este tipo siempre siembra dudas :)

    Insisto que por lo que he podido ver, es legítimo.

    Saludos,

  5. 30 enero 2008

    Eso parece, pero no creo haberlo autorizado. Busqué a ver si se ve una casilla para desmarcar que me atosiguen con publicidad no deseada.

    Debía ser la hora, que uno ya no está en plenitud de facultades, pero en su respuesta (05:12) me dicen cómo:

    Le agradecemos de nuevo que nos haya puesto al corriente de este correo
    electrónico. Podemos confirmar que PayPal ha enviado este correo
    electrónico
    . Le pedimos disculpas por cualquier confusión que esto le
    haya podido ocasionar.

    Para que los usuarios estén informados de nuestros productos y
    servicios, PayPal envía correos electrónicos ocasionalmente a los
    titulares de cuentas
    . De forma predeterminada, está activado el envío de
    correos electrónicos de notificaciones generales y notificaciones de
    pago por correo electrónico. Así pues, si un usuario de PayPal no desea
    recibir estos correos electrónicos, deberá configurar en sus
    preferencias la ‘no’ recepción de los mismos.

    Compruebe el perfil de su cuenta para asegurarse de que sus preferencias
    de notificación de correo electrónico están de acuerdo con las
    especificaciones deseadas. Siguiendo estos pasos, puede elegir si desea
    recibir estos correos electrónicos de notificación:

    Inicie sesión en su cuenta en https://www.paypal.com/ introduciendo su
    dirección de correo electrónico y contraseña en el cuadro Identificación
    de usuario.

    Pulse “Perfil”.

    Seleccione “Notificaciones” en la pestaña Información de cuenta.

    Seleccione las notificaciones que desea recibir.

    Pulse Guardar.

    Copyright © 1999-2007 PayPal. Todos los derechos reservados.

    PayPal (Europe) S.à r.l. & Cie, S.C.A.
    Société en Commandite par Actions
    Sede social :22-24 Boulevard Royal, 5ème étage, L-2449, Luxembourg
    RCS Luxembourg B 118 349

    Pues eso, prefiero pecar de paranoia… a dar las cosas por supuesto. Con el dinero no se juega!!!

  6. 30 enero 2008

    Ya he hecho las oportunas modificaciones, entre ellas la muy recomendable de recibir el correo en modo texto.

    paypal-perfil-notificaciones.png

  7. 5 febrero 2008
    jcbarreto permalink

    Efectivamente, estos emails de PayPal con motivo de San Valentin son… legítimos. Entre otras razones, porque la cuenta que yo particularmente tengo con PayPal es ininteligible (tipo k644001308hidden@gmail.es) que solo conocen: GMAIL y PAYPAL (y punto).

    En esa cuenta no me llega SPAM ni otros correos, porque sencillamente es secreta, por “política personal de seguridad” (de usuario precavido que soy yo, no de PayPal :-) )

    La política de seguridad de PayPal (permitiendo esta publicidad) es discutible como en otros casos; porque se presta para el phishing y mucho se puede hablar sobre ello. Pero Sergio ya lo ha realizado en varias ocasiones.

    [Está claro que el usuario medio está “estadísticamente vendido”]

    Sobre el blanqueo de dinero, pues efectivamente, es así. Es toda una “cadena alimenticia” en este ecosistema del fraude llamado Internet. El scam (ofertas de trabajo falsas), el spam (ofertas de software rebajado), spam exploratorio / pentest de sistemas antispam, etc, etc al final lo que más persiquen es eso, obtener y mover dinero / blanquear, fuera de la ley.

    Lo curioso, es que sistemas de Logos como Verisign Certified Site o similares -LEGITIMOS- (no recuerdo el nombre exacto) … son un reclamo ó gancho que pueden usar tambien “los malos de la película”,poneindo su imagen JPG y URL (ilegítima o legítima de algun sitio web, es indiferente) que engañará al usuario.

    En fin, qué verde estamos [estadísticamente]. Está claro que hay sistemas que sí cubren en alto porcentaje la necesisdad de seguridad, pero no son ampliamente utilizados (como lo de “Línea Electrónica” de CCM, sino recuerdo mal el nombre, mencionado en otro post de este maravilloso BLOG :-) ).

    Enhorabuena de nuevo Sergio, muy buen artículo.

Trackbacks & Pingbacks

  1. meneame.net
  2.   La venta ilegal de software y la conexión con el blanqueo de capitales by los Clasificado
  3. Sergio Hernando » Del spam basura al spam impacto. Un ejemplo real sobre venta online ilegal de réplicas
  4. Shadow Security Blog » Ejemplo real sobre venta online ilegal de réplicas
  5. Venta fraudulentas online | Xtreme News
  6. MiniNoticias » Blog Archive » Ejemplo real sobre venta online ilegal de réplicas

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS