Cuando el problema se
centra en las tecnologías utilizadas siempre cometemos los mismos
errores. El tomar conciencia y conocer las causas de los
problemas no sólo nos ayuda a resolverlos, sino también a
prevenirlos.
En Seguridad de la
Información parece que estuviéramos en un mundo interminable de
repetición de errores. ¿Por qué? Porque la fuerza del atacante
no está en sus herramientas y ni siquiera en sus conocimientos
detallistas sobre alguna tecnología, sino que lo está en su
Creatividad.
Hoy vemos que la tendencia
por obtener información sensible de las personas se ve
acrecentada diariamente, luego de ataques como el Pharming
y el Phishing, hoy estamos expuestos a dos nuevos ataques, el
Vishing y Smishing.
Hablemos del Vishing. Es una de las Nuevas Modalidades
de Fraude basadas en Sistemas Digitales que parten del engaño a
las personas, utilizando un formato muy similar al del
Phishing pero variando básicamente en la “Tecnología de Ataque”.
¿En qué consiste esta
técnica? Una persona mal intencionada genera un e-mail con los
Logos de un Banco y envía un mail a cientos de cuentas de correo que
previamente recolectó (o bien compró en esas “Promociones” que
llegan con frecuencia a nuestras direcciones). El atacante no sabe
si esas personas son clientes del Banco, pero supone que unos
cuantos sí lo serán. ¿Y qué dice el mail? Quizás algo así:
Estimado Cliente:
En
nuestra lucha por combatir el robo a las cuentas bancarias hemos
establecido un mecanismo de seguimiento a nuestros usuarios del
Banco, motivo por el cual hemos detectado que en su cuenta se
han registrado excesivos movimientos respecto a los que Usted
habitualmente realiza superando los USD 2.000 en los últimos 20
días.
Si usted
no ha realizado dichos movimientos por favor le agradeceremos
comunicarse con nosotros de inmediato a nuestro Centro de
Atención Telefónica 5555-5555, Opción 3 para poder
evitar que dicho dinero se acredite en otra cuenta y usted
pierda su dinero.
Por
último, recuerde, que como nosotros estamos preocupados por
su Seguridad, nunca le enviaremos un mail con un
link a nuestro sitio a fin de evitar el robo de las cuentas
bancarias a través de la técnica fraudulenta denominada
PHISHING.
Atentamente,
La
Gerencia
Esta modalidad se diferencia
del Phishing en el medio utilizado, en lugar de pedirle al
usuario que acceda a un link, se lo induce a realizar una llamada
por teléfono a un número determinado...
Y lamentablemente la mayoría de las personas llama directamente a
ese número sin siquiera corroborar si pertenece al Banco. Al
comunicarse, un pre-atendedor telefónico nos dará una serie
de opciones y seleccionaremos la opción indicada. Luego, una voz nos
pedirá que para verificar los movimientos ingresemos los datos de
nuestra cuenta. En este momento develaremos nuestro PIN de
cuatro dígitos, para finalmente darnos un error del tipo “En
este momento no se puede procesar la operación, por favor intente
más tarde o acérquese a una de nuestras sucursales”
¿Y entonces qué pasó?
El atacante se guardó un
archivo con los datos de nuestra cuenta y con la clave de seguridad,
tan simple como eso. Un viejo refrán reza: “Si necesitas algo,
sólo pídelo. El secreto del éxito en obtenerlo, está en la manera de
pedirlo.”
El medio que se utiliza en este engaño es el correo electrónico para
llamar la atención de los usuarios (podría ser cualquier método) y
la plataforma de ataque está basada en la instalación de
programas gratuitos de Centrales Telefónicas Virtuales en las PC
(la mayoría en entorno Linux) a las cuales se les puede asignar un
número telefónico tradicional gracias a los beneficios de la
telefonía basada en la VoIP (Voz por IP)
De esta manera, se proporciona un número que parece “normal”, pero
que en realidad está asociado a una PC y que puede variar su lugar
de conexión tantas veces como lo desee (una Notebook, por ejemplo).
Pero como si fuera poco, también existen programas gratuitos de
simulación de voces que también puedo añadir al pre-atendedor de
mi Central Telefónica Virtual, logrando así que cuando la víctima
llame, atienda una voz de locutor/a con música de fondo,
agradeciéndonos por habernos comunicado al supuesto Banco.
Como mencionaba al principio, esta técnica está basada en el
Phishing, para lo cual sólo hubo que adaptarse a la
tecnología (utilizar Voz por IP) y a las Campañas contra el Fraude.
Recientemente, fueron desarrolladas numerosas campañas fuertes para
combatir el Phishing, hasta el punto de haber visto mensajes
como “nuestro Banco nunca le pedirá sus datos por mail” o
“no acceda a nuestra Web a través de un link”, por lo que a los
atacantes con un poco de Creatividad les alcanzó con modificar un
poco el escenario fraudulento.
El problema se centra en cómo podemos prevenirnos de este tipo de
Fraudes, y desde el momento en que nos detenemos a pensarlo un rato,
vemos que desde la tecnología no hay una vulnerabilidad en sí.
En realidad, el ataque se basa en el medio tecnológico pero la
verdadera debilidad se encuentra enteramente del lado del usuario,
que debería estar informado sobre todo lo relacionado a cómo su
Banco maneja la información, y no debiera confiar en los mensajes
recibidos por correo.
Lo mejor es acercarse a la Sucursal más cercana o llamar por
teléfono al Banco, pero a los números publicados oficialmente y no a
aquellos que un mail nos indica. Pero en nuestra vida diaria
tomarnos 15 minutos para realizar estas actividades pueden ser una
eternidad y complicarnos mucho. La pregunta que debiéramos
hacernos es: ¿Qué nos conviene más?
Claudio Caracciolo
