Cuando el phishing encontró el breach replay

Andrés Naranjo    14 noviembre, 2019
Cuando el phishing encontró el breach replay

Caso real suplantando a la CIA

Decía Einstein, al que me gusta creer que puedo emular, que, si entiendes bien algo, podrías explicárselo a tu abuela. Es por ello que me guste explicar las cosas desde cero, intentando que llegue a todos los públicos y, por eso, voy a intentar aclarar un par de conceptos explicando una tendencia en los emails de los cibercriminales que recibimos TODOS, REPITO TODOS.

¿Acaso no has recibido una “alerta de seguridad de tu entidad bancaria” sin tener cuenta en ese banco? Pues eso, TODOS.

Debo llamar la atención que existe un cambio de tendencia en el cibercrimen que está mutando de ataques a tecnología, hacia ataques a personas, ¿por qué? Porque siempre hay una víctima fácil, desinformada, o suficientemente estresada como para no prestar la atención necesaria. Las empresas cada vez invierten más en tecnología de seguridad y sin embargo, el eslabón más débil sigue siendo el factor humano. Como decimos en ciberseguridad comúnmente, “la vulnerabilidad más grave se encuentra entre el teclado y la silla”.

En primer lugar, demos explicación a por qué, tarde o temprano, todo el mundo recibe estos correos. El cibercrimen que representa una amenaza real, no es “single-action” generalmente. Las peores amenazas hoy en día surgen de sistemas automatizados y cada vez más elaborados y complejos. Y estos sistemas se nutren de bases de datos donde nuestro email va a terminar más temprano que tarde.

De esta forma, con millones de correos diarios, todos estamos en el punto de mira.

¿Qué es el phishing?

Una vez explicado esto, contaremos qué es un email de phising. El phising es un email falso bajo el que se oculta una actividad maliciosa haciéndose pasar por otra persona o entidad, por ejemplo un banco, como comentaba antes. De hecho, no hace mucho, un gran banco me comentaba la cantidad de emails al día que tiene que responder su personal con consultas como: “Oiga que yo no tengo cuenta con ustedes y me ha llegado…”.

NOTA IMPORTANTE: No dejemos pasar el detalle del coste en horas de personal que supone esto para la empresa.

¿Qué es el spear-phishing?

Bien, pues ¿qué es un spear-phising? Es un email dirigido específicamente a la persona que lo recibe. Usa información, normalmente obtenida por ingeniería social o fuentes abiertas, para aumentar la sensación de que ese email procede de la fuente que se está intentando suplantar. Además, si se habla de “alerta” o términos que impliquen urgencia y/o importancia, el receptor derivará su atención hacia el tema en sí y bajará la guardia respecto a la credibilidad del mismo.

¿Qué es el breach replay?

Vayamos ahora con el breach replay: como muchos sabréis, multitud de sitios de todo tamaño han sido vulnerados y expuestos en internet, con muchos de los datos de los usuarios, incluyendo nombres y contraseñas. Estas “breach” se pueden encontrar fácilmente por internet. Por tanto, tenemos ahí credenciales (login y contraseñas) a disposición de cualquiera. Aquí es donde entra en juego ese consejo que solemos dar los hackers siempre: NO REUSAR LAS CONTRASEÑAS. El motivo es simple: vulnerado un sitio, quedan expuestos a la vez todos aquellos que usan la misma contraseña, si el ciberatacante sabe que tenemos cuenta ahí o simplemente lo prueba, nos encontramos ante lo que denominamos “breach replay”.

Pues así de fácil, tenemos ya todos los ingredientes, ¿no? Tan simple como generar un email plantilla en el que insertaremos hábilmente datos, por supuesto de forma automatizada, haciendo creer a la gente que ese email es verídico.

Esta campaña, no tan nueva, está cobrando fuerza en las últimas semanas. Donde se nos avisa que en caso de no ceder a una extorsión un “Hacker anónimo” va a filtrar vídeos que ha grabado con nuestra propia webcam haciendo actos impuros mientras visitábamos webs de adolescentes. El mensaje tiene un plus de credibilidad ya presenta datos reales de la víctima y, si ha reutilizado la contraseña, cómo saber si la ha obtenido hackeando esa web para adultos se convierte en un dilema…

En mi caso concreto, también recibí un correo con supuestas “capturas” de ese vídeo, que obviamente no eran archivos reales (OJO: TAMPOCO ABRIRLOS) proveniente de la misma CIA diciendo que tenían una investigación relacionada conmigo. Interesante, cuanto menos….

Es posible que con su email y contraseña reciba pronto un mensaje de este tipo pidiendo un pago en bitcoin, incluso muy bien redactado en español. Olvídese de ello ya que no supone amenaza alguna, por muchos datos que le dé, es sólo un email entre cientos de miles que busca monetizar por pura inundación.

Por esclarecer un poco el nivel de la sofisticación de los ataques, me ha llamado la atención que en el texto del mensaje se daban ataques “homomórficos” (o typosquatting) que usaban caracteres en otras codificaciones para evadir los filtros anti-spam de las empresas.

Queden por tanto un par de conclusiones:

  1. Utilizar contraseñas distintas para cada servicio o aplicación. Como hemos visto, reutilizar contraseñas pone las cosas mucho más fáciles. Si tienes problemas para recordarlas, usa un gestor de contraseñas.
  2. No ceder a este tipo de chantajes. En cualquier caso, e incluso aunque fuera un ataque real (lo cual es muy poco probable), nadie le garantiza que las imágenes no vayan a ser difundidas o le soliciten nuevas cantidades de dinero.
  3. Prestar mucha atención al contenido sospechoso en los emails. Las amenazas por correo siguen estando las primeras en el top10 del cibercrimen, de forma que en torno al 70% de las brechas de seguridad tanto en empresas como particulares, se deben a esta forma de entrada, originada por un fallo humano engañado por un correo malicioso.

Ejemplo de email real:

Esquema básico de ataque breach replay y password spray

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *