El día cuando intentaron hackear a un hacker, artículo de Diego Samuel Espitía sobre el viejo truco del Phishing
Si algo funciona para que cambiarlo. Ese es el pensamiento de muchas personas, incluidos los delincuentes cibernéticos.
En los últimos 15 años la técnica más usada para iniciar un ataque es el engaño o Phishing, como se conoce técnicamente.
Sin importar sus variedades es la herramienta más común que encontramos en las respuestas de incidentes como vector de inicio de un ataque.
Sin embargo, esta técnica no es usada solo para grandes ataques. Es la más más común que vemos todos los días.
Todas las personas que tengan una conexión en Internet o que consuman servicios en Internet están expuestas a esos ataques.
Esta vez la víctima a la que apuntaron era yo. No porque hayan escogido. Simplemente porque mi número de teléfono estaba en una de las miles de bases de datos que usan para enviar los engaños.
En mi caso usaron una de las variaciones más comunes, que se ha denomina SmiShing. El engaño se envia por mensaje de texto (SMS).
En ocasiones haciendo promesas. En otras aduciendo deudas. O notificando acciones en aplicaciones o servicios en línea.
Para intentar engañarme, usaron la última indicando que la clave dinámica de mi cuenta bancaria había sido desactivada y que tenía que activarla nuevamente de forma inmediata.
Lo primero que uno debe hacer en este caso es pensar. Suena agresivo e incluso ofensivo. Pero esos 3 segundos de calma para pensar en lo que dice el mensaje son vitales.
Lo primero es que estos mensajes siempre deben venir de un numero corto. Algo así como 87715.
Si es de su banco suelen usar números de los que usted ha recibido varios mensajes. En este caso es un numero móvil normal. El primer detalle a tener en cuenta y recopilar para reportar.
Otro detalle. Las horas entre recibir el mensaje y la supuesta acción.
Si se dan cuenta ambos marcan 15:57. Si han revisado y analizado los mensajes que les llegan de su actividad bancaría real, tendrán claro que se demoran unos minutos y no llegan tan inmediatamente.
Esto sucede porque aunque son procesos automáticos requieren pasos y entradas en cola de mensajes.
Eso no es así de inmediato nunca, sino cuantas veces se han quedado esperando un código de verificación para un pago real.
Lo siguiente a analizar el mensaje. Dice que se ha deshabilitado la clave dinámica. Para que eso se pueda hacer el atacante la debe tener y si la tiene ¿para que la deshabilitaría?
Eso es anunciarle al usuario que tiene su cuenta en las manos.
Además esas protecciones son configuradas automáticamente por los bancos y suelen no poder ser modificadas.
Y, por último, ¿realmente es tu banco?
En mi caso, no tengo nada con ellos. Así que este “aviso” no me genera ninguna amenaza.
Ahora, ¿qué hacer para validar?
Siempre que me llegan estos mensajes y tengo tiempo realizo algunos análisis para así poder enviar los reportes a diferentes lados y que se puedan controlar o mitigar la probabilidad que alguien más caiga en la trampa.
Reviso la dirección, que como viene recortada no sabes realmente a donde es que te va a dirigir o que sitio web esta detrás de esto. Para eso existen varios servicios web, que los pueden buscar como url unshortener o usar desenmascara.me. Para este caso use el primero, porque quería ver la URL real a donde dirige ese enlace.
Obviamente los delincuentes no son tontos, por lo que usan algo de la estructura del nombre real, para que las personas del susto solo vean eso y procedan a caer en la trampa.
Pero si se dan cuenta por ningún lado aparece el nombre del banco, sino que aparece ucoz.site, el cual es un dominio temporal creado desde un servicio que se llama ucoz.com, para construir paginas empresariales y que es tan usado por los delincuentes que servicios como netcraft ya los bloquea automáticamente en el navegador.
El siguiente paso es validar si lo han reportado, así que con la misma url recortada voy a algunos sitios a ver los reportes, como VirusTotal, Netcraft, Desenmascara.me, PhishTank, entre otros que encuentras. Como era de esperarse en este caso ya estaba reportada en varios sitios, por lo tanto, no cabe duda de que es un engaño. Para mi gusto muy básico y mal estructurado, pero en el que por el afán caen muchas personas.
¿Cómo evito que otros caigan?
Es importante protegernos entre todos, para eso casi que todos los servicios grandes en internet tienen sitios web donde reportar estas estafas.
Como usualmente los engaños te dirigen a sitios web, yo siempre reporto a los navegadores, hoy en día casi todos, por no decir todos, usan la base de datos de reporte de Google, así que solo lo debes reportar acá
https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en
Para que la Policía Nacional pueda hacer algo es importante siempre crear la denuncia en https://caivirtual.policia.gov.co/ ya sea usando el chat o usando Twitter, pero pasar los datos del número del que se recibió el mensaje y la URL del engaño es vital.
Por: Diego Samuel Espitia
Consultor en Ciberseguridad
