Por Ing. Genaro Delgado Montalvo. Cofundador de </cyberwag> Cybersecurity Intelligence (gdelgado@cyberwag.com)
Este es el tercer artículo de una serie de 4 entregas. Si no has leído la primera y segunda entrega, te recomiendo que hagas click en los siguientes enlaces y no te pierdas la serie completa:
- ¿Qué es y en qué consiste el phishing?
- Conductas Cibercriminales frecuentes: ¿Cómo no caer en un “pemexazo”?
En esta ocasión estudiaremos la conducta criminal cibernética llamada SPOOFING. Se trata de una técnica cibercriminal utilizada para suplantar tu identidad. El objetivo de esta técnica es conseguir acceso a sitios restringidos para obtener información confidencial que puede ser empleada para fraudes en el ciberespacio o incluso de manera física.
Hay varias tipologías del ataque tipo SPOOFING, como lo son: IP SPOOFING, ARP SPOOFING, DNS SPOOFING, WEB SPOOFING, EMAIL SPOOFING y el PHONE SPOOFING. En nuestro caso solo estudiaremos el WEB, EMAIL y PHONE SPOOFING, ya que son las tipologías que están causando más problemas hoy en día.
Probablemente los lectores de esta serie ya lo visualizaron: todas las técnicas de ataques cibernéticos están conectadas de alguna forma u otra. Esto es porque normalmente se mezclan para potenciar el ataque. En ese sentido, el SPOOFING podría ser la evolución del PHISHING y SPAM, ya que esta técnica “enmascara” de una manera más sofisticada (normalmente a través de scripts de JAVA, por ello los navegadores como Chrome, Explorer o Mozilla los desactivan por defecto) el fraude a través de la suplantación de sitios web y ahora “caller ID” de identidades de instituciones financieras con el uso de telefonía celular.
Este “enmascaramiento” es más difícil de detectar por la posible víctima, lo que nos pone de “patas para arriba” en nuestras vidas digitales, sobre todo a quienes usamos servicios financieros web (banca en línea para transferencias bancarias, pagos de impuestos, seguros, etc.)
¿Cómo funciona el ataque de WEB SPOOFING?
Esta tipología es suplantación de una página web real. Simplemente enruta una página falsa -a la que hizo conexión la víctima sin saberlo- hacia otras páginas WEB maliciosas con el objetivo de obtener información del usuario (formularios, contraseñas etc.). El atacante puede monitorear todas las actividades que realiza la víctima.
La página WEB falsa actúa de modo normal solicitando la información requerida por la víctima y saltándose incluso la protección SSL (un certificado de seguridad digital). Esto es lo que lo hace tan peligroso este tipo de ataques porque normalmente no nos damos cuenta y nuestros antivirus tampoco.
La víctima puede abrir la página WEB falsa mediante cualquier tipo de engaño, incluso al seleccionar un simple link enviado por email. En esta técnica, el atacante enmascara el nombre de remitente haciendo que parezca con “autoridad”, por ejemplo puede ser que te llegue un correo electrónico de un remitente que diga: “servicioalcliente@bbva.com <bbva@serviciosemail.net>”, donde aparentemente viene del remitente “BBVA” pero la verdad es que viene un remitente llamado “servicosemail.net” que está entre los signos < >, el cual no tiene nada que ver con los servicios financieros de la institución BBVA. Ese es el remitente real, y lo podemos ver siempre desde cualquier gestor de email como Gmail, Hotmail, yahoo, webmail de dominios empresariales, etc.)
Es importante mencionar que las personas al usar internet, a menudo, toman decisiones relevantes basadas en las señales del contexto que perciben, por ejemplo, se podría decidir teclear los datos bancarios porque se cree que se está visitando el sitio WEB original del banco, esta creencia se podría producir porque el sitio tiene un gran parecido, incluso casi es igual, y hasta sale su URL en la barra de navegación (normalmente enmascarada como los nombres de email que vimos de ejemplo en el párrafo anterior). Por estas razones, los usuarios, podemos ser defraudados fácilmente.
El PHONE SPOOFING puede ser una llamada telefónica que imite todo el contenido de una institución financiera, o bien un SMS que pida reaccionar de manera inmediata. De acuerdo con los estudios de Ingeniería Social, que veremos en la cuarta y última entrega de esta serie, las personas podemos entrar muy fácilmente en pánico ante la incertidumbre o lo desconocido.
Otro ejemplo es un SMS enviado desde un número de teléfono “normal”, es decir, una línea común que puedes obtener desde 100 pesos en centros de autoservicios. El atacante puede tener un software que elabore de manera aleatoria, pero con un patrón específico, para “crear” los números telefónicos de un país, y enviar el SMS de manera masiva. También pudo haber obtenido una base de datos de números de teléfono celular a través de diferentes medios que pueden ser lícitos. En fin, una vez obtenidos los números de telefonía, simplemente se “lanza el anzuelo” tipo PHISHING y SPAM, y solo es esperar a que caiga alguna víctima para usar Ingeniería Social para seguir con el fraude.
Es importante poner mucha atención cuando nos lleguen SMS de remitentes no conocidos, y sobre todo que pidan acciones extrañas. En este caso, antes de responder el mensaje, sin importar qué palabra o qué respuesta mandemos, primero hay que comunicarse con la institución bancaria (si es que coincide nuestra institución bancaria con la del SMS), o revisar el estado de nuestras cuentas a través de la banca móvil. Como lo más probable es que sea un SMS malicioso, entonces simplemente debemos bloquearlo y no contestarlo, repito, no contestarlo.
En este otro ejemplo nos piden tomar acción a través de un link desconocido, y aunque parezca “verdadero” (ya que usa palabras que tienen que ver con el contexto de todo el mensaje), no lo es. ¿Cómo lo podríamos saber? Aunque aparentemente es sencillo y hasta obvio, realmente para muchas personas no es así ya que todo está muy bien contextualizado, es parte de la Ingeniería Social del atacante, que puede ser aleatoria, pero tal vez no.
Veamos el contexto: imaginemos que la posible víctima, efectivamente tiene un iPhone, llega este mensaje, y al hacer click en el link indicado, se direcciona un sitio extremadamente similar al de inicio de sesión de su cuenta iCloud. Al colocar usuario, contraseña y hacer click en “Entrar”, simplemente vuelve a aparecer la pantalla de inicio de sesión de iCloud, en la cual nuevamente inicia sesión y todo “normal”. Lo que realmente sucedió es que en la primera vez que inició sesión la víctima lo hizo en el sitio del atacante donde registró sus credenciales, y la segunda la víctima lo hizo en el sitio verdadero del servicio. Si no hace un cambio de usuario y contraseña pronto, el atacante podría tomar control del servicio de iCloud de la víctima.
¿Cómo podemos prevenirnos del SPOOFING?
Estas son algunos consejos que nos dan en CONDUSEF al recibir SMS o Emails de los cuales dudamos su procedencia:
- Ante cualquier email, SMS o llamada inesperada no proporciones información personal, como números de cuentas bancarias, claves de ingreso o cualquier otra que tenga que ver con tus datos.
- Si recibes una llamada, email o SMS de algún representante de Banco, aseguradora o institución financiera que te pide verificar tus datos personales, primero comprueba su autenticidad marcando directamente a la institución.
- Sé precavido y no reacciones emocionalmente, aunque te presionen para entregar información inmediatamente.
- Acércate con tu Banco para solicitar los mecanismos de prevención y sistemas de alerta de movimientos, ya que esto te permite detectar de manera inmediata cargos o movimientos extraños en tu cuenta.
Créanme que, aunque parecen lógicas las medidas de seguridad que CONDUSEF nos menciona, al momento de recibir este tipo de ataques, realmente es complejo predecir nuestras reacciones y podemos caer muy fácilmente. Por ello es necesario que estemos lo más alerta posible y si algo “no nos cuadra” o nos genera demasiada incertidumbre, tenemos que acostumbrarnos a “parar”, poner atención en los hechos y contextualizarlos. De tal manera, la información que estemos obteniendo de las diferentes fuentes llámese email, SMS o llamada tendrán sentido para tomar decisiones “pensadas” y no por instinto o emocionales simplemente.