Atacando a S21secbank

By
In Sin categoría
Desde que esto de las botnets de alquiler y los troyanos bancarios están al alcance de todos parece que el phishing se ha quedado como el hermano pequeño del crimen online. A fin de cuentas, ¿quién quiere limitarse a capturar credenciales bancarias cuando puede controlar un ejército de máquinas zombi y sentirse como una especie de supervillano tecnológico? Al final, los datos robados van a ir a parar al mismo sitio, pero admitámoslo, ser un botmaster es mucho más cool.

Aun así, los ataques de phishing gozan de buena salud y de hecho vemos que su calidad ha mejorado con el tiempo, reforzando el punto crítico: mantener la confianza de la víctima.

Así, nos encontramos con que los detalles del fraude ahora están mucho más cuidados, empleando spam sin faltas de ortografía, ataques personalizados (seguid usando el Facebook…) y, por supuesto, URLs que imiten lo mejor posible la del sitio legítimo.

Para lograr esto último los phishers emplean varias estrategias; si la web legítima es

https:// s21bank.com/login.html

y la web falsa está ubicada en un servidor comprometido, la dirección resultante será del tipo:

https:// dominiolegitimo.com/s21bank.com/login.html

lo cual no resulta muy convincente. Para solucionarlo uno de los trucos habituales es ofuscar parte de la URL:

https://dominiolegitimo.com/s21bank.com/login.html

https://1152575587/s21bank.com/login.html

Este truco suele aparecer en ataques procedente de China y Brasil, y aunque efectivamente oculta el dominio hackeado, tampoco es la panacea. Particularmente me parece más depurada la técnica que usan los phishers rumanos, consistente en comprar dominios de aspecto “neutro” (empleando para ello credenciales robadas) y construir un subdominio que imita al dominio original. Es decir, si el delincuente ha adquirido autenticacion.tk, la dirección del site malicioso sería:

https:// s21bank.autenticacion.tk/login.htm

lo que no está nada mal 😉

Pero todavía hay un sistema más efectivo para engañar a nuestras potenciales víctimas:

https://www.s21bank.com/login.htm
https://www.s2lbank.com/login.htm

en un primer vistazo parecen iguales, pero no lo son. La idea es sencilla: comprar dominios similares a los legítimos. Las posibilidades son casi infinitas; desde modificar levemente el nombre original, añadiendo números o letras (ss21bank, s31bank), hasta crear uno claramente diferente pero que parezca pertenecer a la entidad:

clientess21bank.com
obrasocial-s21bank.com
login-s21bank.com

originalidad al poder…

De esta forma se consiguen URLs muy creíbles con altas posibilidad de engañar a un ojo poco atento; afortunadamente esta técnica puede prevenirse con bastante éxito. En la unidad de e-crime mantenemos un servicio de detección de este tipo de ataques que podemos resumir en los siguientes pasos:

  1. Consulta diaria a gran número de registradores de todos los dominios adquiridos en las últimas 24 horas.
  2. Filtrado automático de los que sean coincidentes en alguna medida con los de nuestros clientes.
  3. Monitorización de estos dominios por si se activan con un phishing mediante la búsqueda de patrones coincidentes con los de la web original.

Mediante este método actualmente tenemos en vigilancia continua más de 30.000 dominios sospechosos, y la cifra aumenta cada día. Además, no solo permite detectar activación de sites fraudulentos, sino también anticiparse a ellos, pues en ocasiones detectamos la compra simultánea de multitud de dominios (a veces más de 100) similares al de una entidad bancaria, lo cual es síntoma de que se acerca una semana de trabajo fuerte ;).

Javier Barrios
S21sec e-crime

Recommended Posts
Showing 3 comments

Leave a Comment