SPOOFING – La técnica cibercriminal para suplantar identidades. Conócela y no caigas!

-

Por Genaro Delgado – Cofundador de </cyberwag>

Este es el tercer artículo de una seria de 4 entregas semanales. Si no has leído la primera y segunda entrega, te recomiendo que hagas click en los siguientes enlaces y no te pierdas la serie completa:

#PHISHING Haz click en este enlace

#SMPAM Haz click en este enlace

#SPOOFING Haz click en este enlace

#IngenieríaSocial Haz click en este enlace

En esta ocasión estudiaremos la conducta criminal cibernética llamada SPOOFING.

SPOOFING es una técnica, en el mundo de cibercriminales, utilizada para la suplantación de identidad. El objetivo de esta técnica es conseguir acceso a sitios a los que no se está autorizado, con ello obtener la información restringida que permita generar los fraudes en el ciberespacio, incluso de manera física.

Hay varias tipologías del ataque tipo SPOOFING, como lo son: IP SPOOFING, ARP SPOOFING, DNS SPOOFING, WEB SPOOFING, EMAIL SPOOFING y el PHONE SPOOFING.

En nuestro caso solo estudiaremos el WEB, EMAIL y PHONE SPOOFING, ya que son las tipologías que están causando más problemas hoy en día.

Probablemente nuestros lectores de esta serie ya lo visualizaron, todas las técnicas están conectadas de alguna forma u otra, normalmente se mezclan para potenciar el ataque. El SPOOFING podría ser la evolución del PHISHING y SPAM, ya que esta técnica “enmascara” de una manera más sofisticada (normalmente a través de scripts de JAVA, por ello los navegadores como Chrome, Explorer o Mozilla, los desactivan por defecto) el fraude a través de la suplantación de sitios web y ahora “caller ID” de identidades de instituciones financieras con el uso de telefonía celular. Este “enmascaramiento” es más difícil de detectar por la posible víctima, y este tipo de ataque es el que realmente nos ha puesto de “patas para arriba” en nuestras vidas digitales, sobre todo los que usamos servicios financieros web (banca en línea para transferencias bancarias, pagos de impuestos, seguros, etc.)

¿Cómo funciona el ataque de WEB SPOOFING?

Esta tipología es suplantación de una página web real. Simplemente enruta una página falsa, a la que hizo conexión la víctima sin saberlo, hacia otras páginas WEB maliciosas, con el objetivo de obtener información de dicha víctima (información de formularios, contraseñas etc.). El atacante puede monitorear todas las actividades que realiza la víctima. La página WEB falsa actúa de modo normal solicitando la información requerida por la víctima y saltándose incluso la protección SSL (esto es lo que lo hace tan peligroso este tipo de ataques porque normalmente no nos damos cuenta y nuestros antivirus tampoco) La víctima puede abrir la página WEB falsa mediante cualquier tipo de engaño, incluso abriendo un simple link enviado por email (en la técnica de EMAIL SPOOFING el atacante enmascara el nombre de remitente haciendo que parezca con “autoridad”, por ejemplo puede ser que te llegue un correo electrónico de un remitente que diga: “servicioalcliente@bbva.com <bbva@servicosemail.net>”, donde aparentemente viene del remitente “BBVA” pero la verdad es que viene un remitente llamado “servicosemail.net” que está entre los signos < >, el cual no tiene nada que ver con los servicios financieros de la institución BBVA, ese es el remitente real, y lo podemos ver siempre desde cualquier gestor de email como Gmail, Hotmail, yahoo, webmail de dominios empresariales, etc.)

Es importante mencionar que las personas al usar internet, a menudo, toman decisiones relevantes basadas en las señales del contexto que perciben, por ejemplo, se podría decidir teclear los datos bancarios porque se cree que se está visitando el sitio WEB original del banco, esta creencia se podría producir porque el sitio tiene un gran parecido, incluso casi es igual, y hasta sale su URL en la barra de navegación (normalmente enmascarada como los nombres de email que vimos de ejemplo en el párrafo anterior). Por estas razones, los usuarios, podemos ser defraudados fácilmente.

El PHONE SPOOFING, puede ser una llamada telefónica imitando todo el contenido de una institución financiera, o puede ser un SMS que pida reaccionar de manera inmediata, de acuerdo los estudios de Ingeniería Social, que veremos en la cuarta y última entrega de esta serie, las personas podemos entrar muy fácilmente en pánico ante la incertidumbre o lo desconocido.

En el siguiente ejemplo, se muestra un SMS enviado desde un numero de teléfono “normal”, es decir, una línea común que puedes obtener desde 100 pesos en centros de autoservicios. El atacante puede tener un software que elabore de manera aleatoria, pero con un patrón específico, para “crear” los números telefónicos de un país, y enviar el SMS de manera masiva. También pudo haber obtenido una base de datos de números de teléfono celular a través de diferentes medios que pueden ser lícitos. En fin, una vez obtenidos los números de telefonía, simplemente se “lanza el anzuelo” tipo PHISHING y SPAM, y solo es esperar a que caiga alguna víctima para usar Ingeniería Social para seguir con el fraude.

Es importante poner mucha atención cuando nos lleguen SMS de remitentes no conocidos, y sobre todo que pidan acciones extrañas. En este caso, antes de responder el mensaje, no importando qué palabra o qué respuesta mandemos, primero es importante comunicarse con la institución bancaria (si es que coincide nuestra institución bancaria con la del SMS, o revisar el estado de nuestras cuentas a través de la banca móvil (la app instalada en nuestros celulares de la institución bancaria), como lo más probable es que sea un SMS malicioso, entonces simplemente bloquearlo, no contestarlo, repito, no contestarlo.

Imagen relacionada

En este otro ejemplo, nos piden tomar acción a través de un link desconocido, y aunque parezca “verdadero” (ya que usa palabras que tienen que ver con el contexto de todo el mensaje), no lo es, ¿cómo lo podríamos saber?, aunque aparentemente es sencillo y hasta obvio, realmente para muchas personas no es así ya que todo está muy bien contextualizado, es parte de la Ingeniería Social del atacante, que pude ser aleatoria, pero tal vez no.

Imagen relacionada

Veamos el contexto: imaginemos que la posible víctima, efectivamente tiene un iPhone, llega este mensaje, y al hacer click en el link indicado, éste lleva a la víctima a un sitio extremadamente similar al de inicio de sesión de su cuenta iCloud, al colocar el usuario y contraseña y hacer click en “Entrar”, simplemente vuelve a aparecer la pantalla de inicio de sesión de iCloud, en la cual nuevamente inicia sesión y todo normal… lo que realmente sucedió es que en la primer vez que inicia sesión la víctima lo hice en el sitio del atacante donde registró sus credenciales, y la segunda la víctima lo hizo en el sitio verdadero del servicio. Si no hace un cambio de usuario y contraseña pronto, el atacante podría tomar control del servicio de iCloud de la víctima de este ejemplo.

Ahora bien, ¿cómo podemos prevenirnos ante esta evolución de ataque llamado SPOOFING? Estas son algunos consejos que nos dan en CONDUSEF al recibir SMS o Emails de los cuales dudamos su procedencia:

  • Ante cualquier email, SMS o llamada inesperada no proporciones información personal, como números de cuentas bancarias, claves de ingreso o cualquier otra que tenga que ver con tus datos.
  • Si recibes una llamada, email o SMS de algún representante de Banco, aseguradora o institución financiera que te pide verificar tus datos personales, primero comprueba su autenticidad marcando directamente a la institución.
  • Sé precavido y no reacciones emocionalmente, aunque te presionen para entregar información inmediatamente.
  • Acércate con tu Banco para solicitar los mecanismos de prevención y sistemas de alerta de movimientos, ya que esto te permite detectar de manera inmediata cargos o movimientos extraños en tu cuenta.

Créanme que, aunque parece lógico las medidas de seguridad que CONDUSEF nos menciona, al momento de recibir este tipo de ataques, realmente es complejo predecir nuestras reacciones y podemos caer muy fácilmente. Por lo que es necesario que estemos lo más alerta posible y si algo “no nos cuadra” o nos genera demasiada incertidumbre, tenemos que acostumbrarnos a “parar”, y primero poner los hechos y contextualizarlos, de tal manera que la información que estemos obteniendo de las diferentes fuentes llámese email, SMS o llamada tengan sentido para tomar decisiones “pensadas” y no por instinto o emocionales simplemente.

Share this article

Recent posts

La libertad se fundamenta en la privacidad

La libertad empieza con la planeación y contención de los riesgos más allá de la confianza o discreción de la persona en casa.

Nulas y malas prácticas de privacidad, generan brechas de seguridad en todas las organizaciones.

Un estudio a más de 11 mil sitios web, ha demostrado que las organizaciones con malas o nulas prácticas de privacidad tienen un 80% más de probabilidades de sufrir una filtración de datos.

El ransomware se ha convertido en la mayor amenaza cibernética del mundo!

Los ataques de ransomware siguen siendo un gran negocio para los criminales, los avances en la tecnología como la Inteligencia Artificial y los modelos de negocio como el Ransomware as a Service (RaaS), ha permitido que con $50 USD y un poco de conocimiento en computación, cualquier persona se convierta en un cibercriminal.

Sextorsión + Deepfake – Una mezcla peligrosa que generó una amenza de “destrucción masiva” de vidas de jóvenes y adultos en el cibermundo.

Con los avances en IA y Deep Learning, solo es cuestión de tiempo para que las personas resulten en una posición en la que otros suplantan su identidad. No hay diferencia entre alguien hackeando la cuenta de un “famoso” o alguien hackeando a la persona que está en la fila del supermercado. Solo depende de si alguien tiene o no el deseo de apuntarle. - Scarlett Johansson - Víctima de deepfake

Cibervigilancia laboral. La polémica aplicación Hubstaff que ayuda a las organizaciones a “espiar” los movimientos de los empleados a cada segundo en el teletrabajo.

Hubsatff, un “agente” informático que da seguimiento a profundidad de los movimientos de los empleados a cada segundo.

Popular categories

Leave a reply

Please enter your comment!
Please enter your name here

Recent comments