Índice de contenido
Toggle1. Introducción
En ocasiones durante el desarrollo de las clases, los estudiantes suelen preguntar, ¿Cómo se hace un ataque de phishing?, aunque nunca podre conocer sus intenciones reales, espero que sea más que nada para mejorar sus habilidades para la protección de la información, es decir, hacer ciberseguridad.
Es bien sabido entre los profesionales de la ciberseguridad una frase que dice “Para ser bueno en esto hay que ser malo”.
Suena algo paradójico y se refiere a que los profesionales en ciberseguridad deben aprender a pensar “mal”, en otras palabras, pensar como los atacantes, para poder de alguna manera adelantarse a sus movimientos, a fin de estar protegidos.
En lo personal considero que es absolutamente cierto, siempre que he tenido la oportunidad de conocer profesionales en ciberseguridad muy habilidosos y quienes definitivamente tienen muy desarrollado este pensamiento como atacantes.
Es por esto que hoy traigo un ejemplo de como se planea y ejecuta un ataque de phishing, con el propósito de poder comprender un poco más la mente de un atacante.
A continuación, menciono y describo cada una las fases de este tipo de ataques, aunque pueden variar en sus formas y técnicas, este post es solo una perspectiva general de cómo podrían llevarse a cabo.
2. Fases
– Escoger las víctimas
El primer paso consiste en escoger las víctimas del ataque, es decir, a que personas queremos llegar con el phishing para robarles sus credenciales de acceso a algún sistema de información.
Vamos a suponer que un atacante quiere hacerse de las contraseñas de acceso a la banca virtual del banco llamado “bancoseguro.com”.
– Comprar un dominio
El segundo paso consiste en comprar un dominio que sea lo más parecido posible al sitio “víctima”, en el caso de ejemplo podría ser el dominio “banco-seguro.com”; como se puede apreciar se diferencia del dominio legítimo, pero para cualquier usuario común sigue pareciendo un dominio legítimo.
Se podrán dar cuenta que entre mejor sea ese dominio falso y más se parezca al dominio legítimo, mejor será el ataque, dado que engañará de una manera más eficaz a los usuarios “víctimas”.
La compra de este dominio se realiza con información falsa, lo cual le da anonimidad al atacante.
– Crear un sitio web falso idéntico al legítimo
El tercer paso es crear un sitio web que sea lo más parecido, por no decir que debe ser idéntico al sitio web legítimo.
Para lograr esto, lo mejor será usar herramientas de phishing que ya ha sido desarrollada por diferentes contribuidores en la industria de la ciberseguridad.
Con la ayuda de estas herramientas se pueden copiar sitios web y hacer replicas exactas.
Hoy en día, los atacantes además revisan todos los componentes copiados, a fin de eliminar rastreadores que ponen algunas empresas en sus sitios web para detectar cuando alguien los ha copiado.
– Publicar el sitio web
El paso número cuatro es publicar ese sitio web falso con el dominio que se compro en el paso dos.
Por lo general los atacantes escogen servicios de hosting en países donde hay pocas o ningunas leyes de Ciberseguridad, con el objetivo de evitar ser judicializados.
– Adquirir correos o números de celular de las Víctimas
El paso número cinco es conseguir los correos electrónicos o los números de celulares de las víctimas, y así poderles enviar un mensaje sugestivo que los invite a entrar en el sitio falso y dejar registradas sus credenciales de acceso.
En general estas bases de datos de información son fácilmente asequibles en diferentes sitios de internet.
También existen sitios, lugares y comercios físicos que a simple vista ofrecen servicios tecnológicos de toda índole, pero sabiendo donde preguntar se pueden adquirir estas bases de datos.
En América latina es bien sabido que abundan las empresas de tercerización de servicios o conocidas comúnmente como las BPO.
Se han identificado bandas delincuenciales que se encargan de abordar a los trabajadores de estas BPO, quienes manejan millones de datos de empresas para las que les brindan sus servicios. Según reportes, estas bandas delincuenciales tienen bastante éxito debido al perfil de las personas que contratan en este tipo de empresas.
Al parecer los trabajadores son personas jóvenes con salarios bajos y que son fácilmente influenciables para el tráfico de este tipo de información a cambio de pagos en efectivo.
– Lanzamiento del Correo Engañoso – Señuelo
Como bien lo dice este tipo de ataque “Phishing” que en español traduce “Pescar”, es en este sexto paso donde los atacantes lanzan el señuelo para poder capturar sus víctimas.
Aquí, la creatividad del atacante juega un papel crucial dado que debe elaborar un mensaje para ser enviado por correo electrónico o un mensaje de texto, el cual sirva para engañar al usuario y hacerlo ingresar sus credenciales en el sitio falso.
Atacantes mas sofisticados montarán incluso un servicio de correo sobre el dominio fraudulento adquirido, a fin de que el ataque sea aún más creíble y difícil de detectar.
Al final se trata de que este correo de señuelo sea lo más parecido posible a un correo electrónico o SMS legítimos.
– Relajarse y disfrutar
En palabras de los mismos hackers, “En la siguiente media hora ya tendré mis primeras víctimas”.
El séptimo paso es esperar que las víctimas caigan en el engaño y entreguen sus credenciales en el sitio falso.
Parece mentira, pero hay usuarios que usan una misma contraseña para todo, abriéndoles un mundo de posibilidades a los atacantes.
Autor: Miguel Angel Beltrán Vargas, docente de Estándares para el control de la seguridad de la información