Algun datos estadísticos sobre el phishing

Hola,

Aunque el phishing es algo que está quedando un poco rezagado y olvidado a consecuencia del interés de la comunidad en otro tipo de problemas, no está ni mucho menos erradicado. Es una realidad palpable que causa problemas importantes a los clientes y a las entidades que lo sufren, a la par que es una fuente casi inagotable de ingresos para los amigos de lo ajeno.

Uno de los eslabones que integran la cadena del fraude mediante la apropiación y uso de credenciales financieras son las llamadas mulas, personas corrientes como como tu y como yo que ni siquiera intervienen en la planificación de los ataques, pero que en última instancia participan en la operativa fraudulenta, muchas veces sin conocerlo. La misión de las mulas es mover el dinero siguiendo las órdenes de los atacantes con la idea de que los importes sustraídos acaben en las arcas de los malos de la película, siguiendo un proceso de múltiples transacciones con la finalidad de dificultar la traza. A cambio, las mulas retienen un porcentaje de la transacción y que suele ser ofrecido como ganancia en el proceso de captación, que generalmente tendrá que ver con una falsa oferta de empleo.

Sobre las mulas hay poca información, como sucede en toda la cadena de fraude, ya que este es un terreno farragoso donde lo que suele abundar es el secretismo y la falta de información, con la excepción de los comunicados que puedan hacer las Fuerzas de Seguridad en sus operaciones, de tal modo que la aparición de datos es siempre una noticia. Financial services technology ha publicado un artículo donde se ofrecen algunos datos interesantes.

Según este medio, RSA ha realizado un estudio en el que analiza algunos datos estadísticos relacionados con troyanos MITB (man-in-the-browser), y donde es posible comprobar que la edad media de una mula es de 31 años, que la vida útil de una cuenta empleada para el blanqueo es de 3 días, siendo 18 el número promedio de intentos de fraude realizados por mula y cuenta. La cifra más relevante es la cantidad media que circula a través de una mula, 3980 dólares (unos 3.000 euros) por transacción en banca minorista. Fuera del segmento retail, habida cuenta de la operativa que suelen realizar los clientes mayoristas, las cantidades serán mucho más significativas.

La detección de operativa inusual la pintan fácil, pero no es tan inmediata como se piensa. Especialmente con los clientes existentes, donde no siempre es fácil determinar si un movimiento es legítimo o si por el contrario, está relacionado con una operación de blanqueo. Y muchas veces, cuando por fin atas cabos y marcas la cuenta como participante en un evento de blanqueo, ya ha salido dinero de las cuentas.

El phishing está lejos de ser una amenaza en extinción. Cada día los ataques se sofistican más y más, y los problemas siguen estando tan presentes como cuando hace algunos años todo empezó mediante los ataques por correo y los enlaces a sitios maliciosos. Esta lacra, por desgracia, está mas viva que nunca.

Un saludo,

Cutrephishing extremo: hágase phishing usted mismo

Buenas,

Aprovechando la migración a Thunderbird 3 he descargado el correo de uno de los pozos de spam con el que tengo la mala costumbre de leer correo basura de vez en cuando.

Me ha sorprendido que en esta época de industrialización de la actividad criminal tecnológica el cutrephishing siga estando vivo. He podido contar hasta 6 mensajes de finales de septiembre que ejemplifican perfectamente que no todo el mundo lleva por bandera la sofisticación. Lógicamente no se trata de un ataque fresco, y de hecho los sitios fraudulentos a los que eran remitidas las credenciales ya no funcionan, pero es un caso curioso que desde luego no suele ser el habitual cuando los amigos de lo ajeno se ponen manos a la obra.

Lo llamativo de este ataque es que es el propio usuario el que tiene que hacerse el phishing a sí mismo. Ni te invitan a seguir un enlace que simula ser la página de tu banco, ni contaminan un sitio legítimo para redirigirte a un sitio malicioso, ni te pretenden colar un troyano financiero con el objetivo de desplumarte. Cualquier cosa vale para tratar de robar datos sensibles, y si no, atentos al ejemplo. Los mensajes de correo fraudulentos que recibe el usuario son similares al siguiente:

phishing cam

El ataque invitaba al usuario a abrir el fichero adjunto y usar el formulario, en este caso, para realizar una hipotética reactivación de su tarjeta. Todo ello en texto plano, y sin look and feel corporativo alguno.

No os creáis que ese fichero es en realidad un downloader camuflado bajo la forma de un fichero HTML. Parte del código de ese fichero es el siguiente:

phishing cam

El adjunto es un triste fichero HTML que pretendía que el usuario introdujese número de tarjeta y PIN:

phishing cam

Lo triste de estos ejemplos es que por muy inverosímiles que parezcan, siempre hay usuarios que acaban picando. No os quepa duda.

Un saludo,