Modificaciones en el phishing tradicional

Buenas,

Describen en Websense una modalidad de ataque phishing que desde luego, no es la modalidad tradicional. Está basada en el envío fraudulento de correo en nombre de entidades financieras.

En este caso, la captura de datos se realiza mediante un cuestionario de satisfacción. El cebo consiste en ofrecer 100 dólares americanos a los que rellenen la encuesta. Según la información de Websense, el ataque estaba alojado en EEUU, y no está ya activo. Estaba dirigido a la clientela del First Credit Northern Union, una entidad tipo credit union, sin ánimo de lucro, ubicada también en EEUU, concretamente en Illinois, y pretendía un robo de credenciales primario, ya que para recibir el premio, había que indicar la cuenta de abono. Otros datos como teléfono, correo y nombre del titular eran sustraídos.

phishing survey

Riesgos que le veo a esta modalidad:

a) Se basa en un método que suele funcionar. Las encuestas de satisfacción remuneradas, bien en metálico, bien obteniendo a cambio un regalo, funcionan bastante bien. Pensemos en los formularios que hemos rellenado con nuestros datos sólo para que nos regalen algo.

b) El método huye de la chapucería del phishing tradicional, y no se presenta como la clásica amenaza «deme usted sus claves de operación». Induce a una peligrosa sensación de inocuidad, que genera confianza en las víctimas potenciales.

Aunque las entidades españolas no han sido objeto de este ataque, prudencia ante lo que nos llegue al correo. Estos modelos son exportables y segmentables por países con tan sólo traducir la idea original.

No me cansaré de decir que no se puede ni debe hacer caso al correo no solicitado.

4 comentarios sobre “Modificaciones en el phishing tradicional

  1. Hola Sergio,

    Sería interesante una entrada en el blog dedicada al robo de identidades basados en aplicaciones deliberadamente descargadas por el usuario… Da la impresión de que cada vez hay más versiones FAKE de aplicaciones genuinas; y tambien.. aplicaciones free /shareware con funcionalidades ocultas indeseadas:

    G-Archiver (*), Registry Cleaner 2008, CSI (versiones «fake» en el propio http://www.download.com (**), no el genuino de Prevx), Trendmicro (versiones fake), etc

    (*) ¿Ataque real o «Accidente no intencionado» ?
    http://www.kriptopolis.org/shareware-roba-passwords-gmail
    http://www.codinghorror.com/blog/archives/001072.html

    (**)
    http://www.prevx.com/blog/77/Prevx-and-Trend-Micro-targeted-by-spammers.html
    http://www.virustotal.com/es/analisis/6da37087bc4427f3fc16cf2c9042a8ed

    Por cierto, este último me lo descargué en marzo; pillé el link en la caché del Google… y lo bajó desde algun mirror del propio download.com !! Mirad la tasa de detección de virustotal.com (marzo 2008), de un ejecutable de noviembre de 2007.

    Listas blancas ya !

  2. Hola Sergio
    Como siempre interesante artículo, me he permitido copiarlo en un foro de seguridad al que pertenezco al considerarlo de interés general.

    Otra, en el penúltimo párrafo me parece que hubieras cometido un pequeño error, acaso no es mejor: «Aunque las entidades españolas NO han sido objeto de ester ataque, prudencia ante lo que nos llegue al correo.»

    Saludos

  3. Camelot,

    Gracias por advertir la errata. Solucionado.

    Gracias !!!

    jcbarreto,

    Ví la noticia en su momento, pero no he comentado nada al respecto. Es un ataque masivo, pero con algunos matices que lo hacen algo «controlado». No obstante, es un caso digno de estudio ;)

    Saludos a los dos,

Comentarios cerrados.