Español | English
rss facebook linkedin Twitter

Atacando a S21secbank

Desde que esto de las botnets de alquiler y los troyanos bancarios están al alcance de todos parece que el phishing se ha quedado como el hermano pequeño del crimen online. A fin de cuentas, ¿quién quiere limitarse a capturar credenciales bancarias cuando puede controlar un ejército de máquinas zombi y sentirse como una especie de supervillano tecnológico? Al final, los datos robados van a ir a parar al mismo sitio, pero admitámoslo, ser un botmaster es mucho más cool.

Aun así, los ataques de phishing gozan de buena salud y de hecho vemos que su calidad ha mejorado con el tiempo, reforzando el punto crítico: mantener la confianza de la víctima.

Así, nos encontramos con que los detalles del fraude ahora están mucho más cuidados, empleando spam sin faltas de ortografía, ataques personalizados (seguid usando el Facebook...) y, por supuesto, URLs que imiten lo mejor posible la del sitio legítimo.

Para lograr esto último los phishers emplean varias estrategias; si la web legítima es
http:// s21bank.com/login.html
y la web falsa está ubicada en un servidor comprometido, la dirección resultante será del tipo:
http:// dominiolegitimo.com/s21bank.com/login.html
lo cual no resulta muy convincente. Para solucionarlo uno de los trucos habituales es ofuscar parte de la URL:
http://dominiolegitimo.com/s21bank.com/login.html

http://1152575587/s21bank.com/login.html
Este truco suele aparecer en ataques procedente de China y Brasil, y aunque efectivamente oculta el dominio hackeado, tampoco es la panacea. Particularmente me parece más depurada la técnica que usan los phishers rumanos, consistente en comprar dominios de aspecto "neutro" (empleando para ello credenciales robadas) y construir un subdominio que imita al dominio original. Es decir, si el delincuente ha adquirido autenticacion.tk, la dirección del site malicioso sería:
http:// s21bank.autenticacion.tk/login.htm
lo que no está nada mal ;)

Pero todavía hay un sistema más efectivo para engañar a nuestras potenciales víctimas:
https://www.s21bank.com/login.htm
https://www.s2lbank.com/login.htm
en un primer vistazo parecen iguales, pero no lo son. La idea es sencilla: comprar dominios similares a los legítimos. Las posibilidades son casi infinitas; desde modificar levemente el nombre original, añadiendo números o letras (ss21bank, s31bank), hasta crear uno claramente diferente pero que parezca pertenecer a la entidad:
clientess21bank.com
obrasocial-s21bank.com
login-s21bank.com
originalidad al poder...

De esta forma se consiguen URLs muy creíbles con altas posibilidad de engañar a un ojo poco atento; afortunadamente esta técnica puede prevenirse con bastante éxito. En la unidad de e-crime mantenemos un servicio de detección de este tipo de ataques que podemos resumir en los siguientes pasos:

  1. Consulta diaria a gran número de registradores de todos los dominios adquiridos en las últimas 24 horas.

  2. Filtrado automático de los que sean coincidentes en alguna medida con los de nuestros clientes.

  3. Monitorización de estos dominios por si se activan con un phishing mediante la búsqueda de patrones coincidentes con los de la web original.

Mediante este método actualmente tenemos en vigilancia continua más de 30.000 dominios sospechosos, y la cifra aumenta cada día. Además, no solo permite detectar activación de sites fraudulentos, sino también anticiparse a ellos, pues en ocasiones detectamos la compra simultánea de multitud de dominios (a veces más de 100) similares al de una entidad bancaria, lo cual es síntoma de que se acerca una semana de trabajo fuerte ;).

Javier Barrios
S21sec e-crime

3 comentarios:

Nocturna dijo...

no disfrutas ni nada!!
My interesante el post, intentaré tener más cuidado
V

Emilio dijo...

Cool post! :-)

Los ejemplos de ofuscación de URL me han recordado al "The homograph attack" ¡todavía capaces de confundir más al usuario con IE 6.0!
http://www.cs.technion.ac.il/~gabr/papers/homograph.html

Caterina dijo...

¡¡Alucinante!! Hay que ver cómo se ponen las pilas.
El tema de comprar dominios similares es descacharrante:

https://www.s21bank.com/login.htm
https://www.s2lbank.com/login.htm

oO

Se agradece un montón la información Javi.
Un saludo y sigue pasándotelo pipa con estas cosas :D


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login