martes, 15 de septiembre de 2015

Training the phising or phising the trainer?


Lunes, inicio de curso escolar, fin de las vacaciones también para mí y comienza fuerte: a la hora del café medio-mañanero me entra un tuit de @logismanSGSI con el sugerente texto de: “Un pirata informático intenta estafar a los entrenadores aragoneses” seguido de la dirección web del artículo publicado en la página del Heraldo de Aragón. ¡Mola!

Hacer clic en el vínculo de modo casi automático (me fío de ti, Sergio) y leer el artículo de tirón fue todo uno…

Y voy a destriparlo a mi manera por partes.



Empiezan bien el artículo haciendo hincapié en que un “pirata informático…” intenta estafar a los entrenadores aragoneses, pero la c**** al decir que “el hacker, usurpando la identidad del primer funcionario de los entrenadores aragoneses…” solicitó, supongo, a toda la lista de contactos del correo electrónico una ayuda monetaria urgente a remitir a una dirección de la Western Union en Costa de Marfil ya que decía haber olvidado todo el equipaje en un taxi y solo podía comunicarse vía correo electrónico… ¿os suena?

De libro; primero, la confusión, que parece enquistada en los medios de comunicación, de identificar “pirata informático, delincuente informático, ciberdelincuente” con hacker: ¡que no, có! Que no son lo mismo, aunque lo diga el diccionario de la RAE. Y segundo, el intento de estafa.

Es un intento de estafa “de manual”, que para llevarse a cabo hace uso del “primer principio de la Ingeniería Social” enunciado en su día por Kevin Mitnick: “todos queremos ayudar” Y lo hacemos casi irreflexivamente cuando la persona que nos pide ayuda es alguien influyente (si la ayudo sumo puntos) y además “la ha cagado” (mira que dejarse el equipaje en un taxi en Costa de Marfil)... Menos mal que nos para un poquito el tema dinero (1200€ es algo más de lo que solemos llevar en la cartera -al menos yo) y nos hace pensárnoslo dos veces antes de salir corriendo para transferir el dinero; porque lo que no nos detiene es el hecho de pensar ¿qué hace este señor en Costa de Marfil?¿cómo es posible dejarse “todo” en un taxi?¿dónde lleva la cartera y el teléfono, en la maleta? sin entrar en ¿cómo c*** se ha identificado -sin pasaporte ni “nada” - en una oficina de Western Union para recibir transferencias de dinero?¿no sería más lógico hacérselo llegar al hotel dónde se hospeda? Vamos, que los malos-malotes buscan un efecto acción-reacción inmediato apelando a los sentimientos. ¡Saben más que los ratones coloraos! que dicen en mi pueblo.

Y luego viene la pregunta del millón: ¿de dónde han sacado la contraseña para acceder a la cuenta de correo? Aquí la respuesta nos la podrían dar los investigadores -ya que según Heraldo se ha interpuesto denuncia ante la Policía-, pero mientras la tenemos (o no, que será lo más probable) podríamos aventurar unas cuantas hipótesis, las más sencillas:

  • shoulder surfing o, en madrileño castizo, espiar por encima del hombro. Que hay auténticos genios. Yo me inclino a desecharla porque se pedía que el dinero se enviara a Costa de Marfil, que coge “un poco a desmano” para ir a cobrar
  • infección por malware en los dispositivos desde los que se conecta al correo electrónico (smartphone, tablet, portátil, PC… o sus homólogos de Apple) Fácil, cada vez más… y se puede hacer directamente desde Costa de Marfil
  • ingeniería social, que es por la que yo me inclino: le llega un mail “avisando” de su cierre de cuenta de correo electrónico si no la confirma cumplimentando unos datos (imagen 1) y tras responder, todos sus contactos de la libreta de direcciones reciben un correo “miserere” pidiendo euritos para socorrerle (imagen 2), primo hermano de que se ve en el artículo antes citado. Que este ejemplo que os pongo es real (aún vive el que lo cuenta) porque me lo encontré en el ordenador de unos conocidos (que, dicho sea de paso, estaba en una LAN junto con el servidor de BBDD, el PC de contabilidad y…)

Que sí, que ya se que estáis pensando que me he olvidado de mi “cuasi-obsesión” de las contraseñas a lo “123456” y su prueba a base de fuerza bruta, pero en este caso Gmail se hubiera “mosqueado” por número excesivo de intentos de identificación, y no hubiera funcionado; pero, si se hubiera configurado la cuenta de correo con doble factor de identificación es posible que esto no hubiera ocurrido.

Porque vosotros lo tenéis activado ¿verdad? ¡No me contestéis, no quiero saberlo!

Ahora al afectado, como supongo le habrán dicho tanto los investigadores como los “informáticos de la oficina”, le toca cambiar, si puede -que supongo que sí- la contraseña de la cuenta de correo; pero antes sería de lo más interesante una limpieza a fondo de posible (casi seguro) malware en todos y cada uno de los dispositivos desde los que pudiera haberse conectado a la cuenta de Gmail, amén de activar el doble factor de autenticación.

Y, a vosotros que me leéis y estáis versados en esas cosas: ¿lo de publicar la dirección de correo electrónico de la víctima en el artículo…?; y a los que no lo estáis ¡NO publiquéis nunca la dirección de correo electrónico de nadie! Por si la AEPD…

Un cordial saludo,

No hay comentarios: