Robo de identidad: mismo lobo, otra piel de oveja

 

Bogotá, Colombia, 15 de marzo de 2013. RSA, la División de Seguridad de EMC Corporation (NYSE:EMC), anunció hoy que el robo de identidad (phishing) continúa siendo una de las amenazas en línea principales y afecta tanto a los usuarios o consumidores como a las organizaciones que ofrezcan servicios en línea. Tan sólo en 2012 se registraron, en promedio, más de 37,000 ataques de phishing por mes, lo que se traduce en pérdidas estimadas en $1,500 millones de dólares.

Kits de robo de identidad

RSA recientemente analizó kits de robo de identidad (phishing kits) donde se descubrió una táctica cada vez más usada por los criminales. El esquema incluye varias redirecciones de un sitio web a otro; por lo general se trata en principio de un sitio web legítimo que ha sido apropiado por los delincuentes, sin hacerle alguna modificación. Usando este sitio como trampolín, inducen a los internautas a ingresar a dicho primer sitio para posteriormente redireccionarlos a un segundo: la verdadera página de robo de identidad.

El uso de dos sitios tiene un propósito muy claro: evitar que los mensajes de correo electrónico sean bloqueados por los filtros de seguridad, ya que el primer sitio es “limpio” y es el que será analizado por el filtro. Uno no puede acceder al sitio malicioso sino se ha ingresado previamente a la primera URL legítima.

Otro de los ataques detectados son los llamados de “acción retardada”. Estos no son nuevos pero cada vez son utilizados más por los delincuentes. Esta variación usa igualmente un sitio legítimo o limpio, cuya URL se distribuye vía correo electrónico, pero se paraliza; el contenido malicioso solo se cargará uno o dos días después.

Por lo general se trata de ataques de fin de semana, en donde el correo malicioso se envía el domingo, borra los sistemas de correo electrónico y el contenido ilegal estará disponible el lunes. Este mismo esquema se utiliza para las campañas de infección por troyanos y robo de identidad de objetivos específicos.

Los análisis de RSA demuestran que los viernes son los días preferidos por los criminales del phishing para enviar sus correos de robo de identidad de objetivos específicos. ¿Por qué el viernes? Se determinó que hacia el final de la semana, los empleados tienen menor carga de trabajo, por lo que están menos atentos y son más propensos a caer en ataques de phishing. Por lo general, el viernes los empleados dedican más tiempo a borrar de su bandeja de entrada los correos de la semana y navegan por Internet más, lo que incrementa la posibilidad de hacer click en algún enlace recibido ese día.

Otras formas de phishing

Los criminales del robo de identidad son conocidos por su creatividad al diseñar ataques maliciosos. Uno de estos es el secuestro de URL; una forma común de engañar a los usuarios de la Web y hacerles creer que visitan una URL legítima cuando se trata de un “gemelo malvado”. Este ataque se basa en registrar un sitio web con un dominio muy similar al legítimo o que engañe a los usuarios.

Las formas más comunes del secuestro de URL son: intercambiar letras (por ejemplo twitter por iwitter); agregar una letra al final o repetir alguna (Montterrey para Monterrey); e intercambiar letras visualmente similares (i por l). Para evitar entrar a estos sitios se debe leer cuidadosamente la URL, sin embargo, la mayoría de los usuarios revisan sus correos en medio de arduas jornadas de trabajo, lo que hace más factible el hacer click (inclusive de forma accidental) en un enlace malicioso.

image003

 

“Detrás de la fachada o página de robo de identidad, se encuentran kits cada vez más sofisticados que registran las visitas y las coordenadas del usuario, lo dirigen de un sitio a otro, lo guían engañosamente a puntos de infección donde se roba la información”, dijo Alejandro Negrón, de RSA Colombia. “Según un estudio reciente de RSA sobre el tema, los cambios en estas tácticas se deben al intento de conocer los patrones de comportamiento humano mediante estadísticas sobre los usuarios; conocimiento que posteriormente es implementado en campañas de ataques”.

 

El RSA Anti-FraudCommand Center cuenta con más de 130 analistas dedicados a detectar y abordar las diversas  amenazas en línea, tales como phishing, pharming y ataques de troyanos. El AFCC ha liderado el camino a través de resultados, el logro de metas y anunciando descubrimientos importantes de fraude. Uno de sus logros más importantes fue el cierre de más de 750,000 ataques en línea a nivel mundial.

 

 

  Share: