fbpx

Regresan las estafas de trabajo e inversión a LinkedIn

391054-PCEIQT-196

No es sorpresa que en los últimos años la popularidad de sitios como LinkedIn creció considerablemente, ya que es una red que permite contactar y comunicarte con distintas personas relacionadas a tu empresa o área, o simplemente la utilizan para encontrar trabajos o reclutar gente.

 

Sin embargo, como cualquier red social, este tipo de plataformas no pueden evitar en su totalidad la creación de cuentas falsas que busquen aprovecharse de una persona que está buscando trabajo, o evitar el robo de información y extorsión a empresa reales, mediante el uso de “acuerdos” en los que sugieren empezar una relación de negocios.

 

Pero, ¿qué métodos utilizan los atacantes para recolectar información?

 

Scraping

Scraping es una técnica que lamentablemente no puede ser controlada o mitigada al 100% por tu empresa, ya que recopila información pública que se encuentre en internet relacionada a tu empresa o información de contacto. Scraping se entiende como “extracción”, y se refiere a la extracción de datos de una fuente pública, en este caso la fuente ha sido Linkedln.

 

De acuerdo con un estudio realizado por la AARP en conjunto con Javelin Strategy & Research, el año pasado (2020), se recopilaron alrededor de 500 millones de cuentas en LinkedIn, incluyendo nombres, correos electrónicos, cargos, empresas y relaciones públicas con otras compañías, esto significa un incremento del 40% en el número de casos de intento de fraude o fraude cometido por supuestas “empresas”. 


Robo de identidad o suplantación

Algo muy utilizado por los estafadores sigue siendo la suplantación de identidades, incluso de empresas, utilizando su nombre e incluso los logotipos de las mismas, a veces sólo utilizan el logotipo con un nombre diferente.

 

Tan solo el año pasado se recibieron 1.5 millones de quejas sobre el robo de identidad, cifra que es mucho más que el doble que se presentaron en 2019, y las estimaciones para el año en curso es que sean triplicadas , ya que tan sólo en lo que llevamos de año se han presentado 3 millones de quejas frente a la COFECE (Comisión Federal de Competencia de Económica).

  

¿Tú empresa es víctima de esto?

Seguramente podrías pensar que tu empresa está a salvo de ello, sobre todo si no has recibido quejas o algún tipo de ataque utilizando estos medios, sin embargo, es muy posible que sea todo lo contrario a lo que piensas y que estén hablando de ti o haciéndose pasar por ti o tu empresa. Y no lo decimos nosotros, lo dicen las estadísticas, 4 de cada 5 empresas está sufriendo suplantación de identidad en cualquiera de los niveles administrativos o personales.


Y es que... ¿eres consciente y conoces a todos los que te contactan?, ¿sabes con certeza que no eres víctima de ello, y que tu empresa no está siendo suplantada en alguna red social, sitio web o incluso en la deep web?

 

Entonces, ¿no estamos seguros?

La realidad es que nunca se está al 100% seguro, pero se pueden implementar normativas, políticas y controles que ayuden a disminuir los riesgos que se puedan presentar, pues sabemos que no está en tu plan, ni en el de ninguna otra empresa el sufrir cualquier tipo de fraude o estafa mediante una red social como lo puede ser LinkedIn.

  

¿Qué tipos de fraudes puedes sufrir?

Estrictamente hablando, no existen tipos específicos de estafa o fraude que pudieran sucederse, pero en este caso creemos importante proporcionarte casos reales de intentos de fraude que nos hemos dado a la tarea de recolectar mediante diversas técnicas de investigación.

 

Día con día se envían mensajes como el siguiente:

 
WhatsApp Image 2021-09-20 at 11.25.19

En este tipo de mensajes, los estafadores invitan a colaborar con “empresas” a actividades que pueden resultar un poco sospechosas, tal vez para una persona con experiencia o que tiene la capacitación correcta, ni siquiera contestaría el mensaje. Pero, para una persona que no es consciente de ello, ¿Qué puede pasar?

 

Lo que puede pasar es que le extraigan información, le envíen algún tipo de malware, o simplemente empiecen una relación con esa persona que derive en muchos más riesgos para su empresa.

 

Es por ello que es de suma importancia el mantener capacitado a todo nuestro personal, en materias de seguridad y concientización, temas de ingeniería social y fraude. En ID SEC Group contamos con cursos especializados impartidos por personal certificado y con amplia experiencia en el ámbito, además de contar con metodologías especializadas en materia de recolección de información pública y en la deep web, con el fin de que conozcas el estado de tu empresa.

 

¿Cómo hackear un cajero automático?

Recurso 1@4x

Recientemente Josehp Rodriguez, experto consultor en seguridad, hizo público que logró hackear algunos cajeros automáticos únicamente utilizando su celular y una app que él mismo desarrolló. Revela que logró obtener acceso a los datos almacenados en el cajero, bloquear o inhabilitar operaciones e incluso retirar dinero del mismo cajero automático.

 

Es por ello que nos dimos a la tarea de estudiar, analizar y compartir el funcionamiento a detalle de este tipo de ataque, a fin de prevenir y concientizar a los bancos de este tipo de ataques.

 

¿Qué utilizó para realizar el hackeo?

Como bien se mencionó anteriormente, únicamente necesitó de un dispositivo móvil y de una aplicación desarrollada por el mismo. Sin embargo, esto no fue lo único, ya que el dispositivo móvil tenía la tecnología NFC.

 

NFC significa Near Field Communication, o Comunicación de Campo Cercano en español, la cual es utilizada para transmitir datos de forma inalámbrica a una distancia muy corta que generalmente es utilizada para realizar pagos, transferencias de archivos o conectarte a una red inalámbrica. Al ser una tecnología tan versátil, no es imposible imaginarse que puede ser utilizada para muchas más aplicaciones.

 

En este caso, fue utilizada para enviar los datos de la app maliciosa hacia el cajero automático de forma inalámbrica, ya que como sabemos, el cajero automático se encuentra conectado a la red interna del banco, por lo tanto, y por cuestiones de operatividad, también se necesita de los adaptadores inalámbricos para cualquier fallo físico que pueda presentar, entonces, nombraremos a estos adaptadores como el vector de ataque principal del hacker, ya que es en donde se establece un canal de comunicación entre ambas partes.

 

¿Cuál es el contenido de la app utilizada?

Ahora bien, no únicamente se necesita de un canal de comunicación, si no se tiene acceso a la información o no se pueden enviar los datos correctos, no se podrá obtener nada más que una conexión vacía.

 

Es aquí donde entra la app desarrollada por el experto, y de la que se explica paso a paso el ataque y el funcionamiento de la app:

 

1.- Como primer paso, se necesita obtener el control del cajero automático, o bien, por lo menos poder ejecutar código dentro del mismo, es decir, nuestra app. Para ello se utiliza el teléfono móvil con NFC, con el que se envían miles y miles de paquetes hacia el cajero automático.

 

2.- El ATM en su procesador central tiene una memoria que utiliza una estructura de datos llamada “cola” para almacenar todas las peticiones o paquetes de información que recibe y así poder atenderlas en el orden correcto. Sin embargo, dicha memoria no es infinita, por lo que llega un punto en el que la memoria que guarda las peticiones se desborda y el cajero pierde funcionalidad, debido a que una parte central se encuentra inoperativa.

 

3.- Una vez que se hubo desbordado la memoria, nos deja el camino libre para ejecutar nuestro código malicioso, ya que hemos corrompido el funcionamiento normal y ahora nos permite ejecutar el código aprovechándose del estado de la máquina, ya que seguramente está tratando de ejecutar un código de emergencia para restablecer la memoria.

 

4.- Al tratar de ejecutar dicho código de emergencia tenemos dos opciones: o bien ejecutamos nuestra app junto con el código de emergencia, o en nuestra propia app restablecemos la memoria y después ejecutamos el código malicioso.

5.- Una vez que el código puede ser ejecutado, necesitamos obtener los privilegios necesarios para realizar las operaciones que queramos. Para ello buscamos una elevación de privilegios en el propio ATM.

 

6.- Generalmente los sistemas operativos de los cajeros automáticos son Windows o similares como UNIX, Linux y algunos basados en los anteriores. Por lo que no es muy diferente de tratar de escalar privilegios en una máquina personal. Es por ello que pueden presentar vulnerabilidades ya conocidas debido a que es un software ya viejo o que no es actualizado correctamente.

 

7.- Finalmente, ya con los permisos necesarios, podemos extraer información o realizar operaciones como transferencias electrónicas o retiro de efectivo.

 

Como se puede entender, es bastante “sencillo” vulnerar un ATM, ya que como se reitera, son máquinas con software obsoleto o que no es actualizado constantemente, además de que no se cuentan con las suficientes medidas necesarias para prevenir y actuar de forma correcta ante este tipo de ataques que van dirigidos directamente hacia la memoria u otros periféricos. 

 

 

Poly Network: así sucedió el ataque del año

the-golden-bitcoin-in-mail-hands

En los pasados días se dio a conocer que la red financiera llamada Poly Network fue víctima de un ataque en el que perdieron 611 millones de pesos en criptomonedas.


Poly Network es una plataforma que basa su funcionamiento y ofrece sus servicios financieros en blockchain, es decir, trabaja con diversas blockchains como Etherum, Polygon, Binance Smart Chain, entre otras. Su funcionamiento se basa en el intercambio de tokens y/o criptomonedas, eso gracias a que es una plataforma descentralizada, lo que le permite tener variedad. Además de que cuenta con una red de bloques propia y smart contract desplegados a lo largo de la misma, lo que le permite realizar las operaciones.

 

Este proceso de transferir tokens consiste en el bloqueo de los activos en la red origen, en este caso la red de Poly, y después que sean transferidos a la cuenta destino, con la condición de que los contratos tengan la liquidez suficiente para recibir los activos en la cuenta destino, en este caso la red del atacante.

 

A continuación, se presenta un diagrama presentado por Poly Network sobre la anatomía de la transferencia:

Poly Networks

Pero, ¿cómo sucedió el ataque?

 

Una vez que el atacante tenía identificado el modo de operación de la red y que estaba convencido de que podía realizar las transferencias, era momento de poner manos a la obra.

 

En un principio se creía que las claves privadas que utiliza Poly Network para realizar las transferencias habían sido obtenidas mediante fuerza bruta, aunque parecía un escenario improbable, ya que como se sabe, las operaciones de blockchain ocupan muchísimo poder de cómputo, y romper una llave de esta magnitud necesitaría de una red de bots inmensa para lograrlo.

También se planteaba la idea de que habían sido filtradas, es decir, que había sido un error interno o que alguien desde dentro realizó las transacciones.

 

Sin embargo, ninguna de las dos opciones resultó ser verdadera. Un estudio realizado por la consultora china “SlowMist” reveló que todo se debió a un fallo en el código de la plataforma, particularmente en la función _executeCrossChainTx del contrato EthCrossChainManager.

 

La debilidad que fue explotada por el atacante, es que los argumentos del contrato y de la función no son verificados adecuadamente, lo que habilita que el usuario pueda manipular esta información. Debido a esto es posible que a partir de esta función se puedan realizar llamadas a otras funciones y/o contratos únicamente sabiendo el nombre del método, por lo que se puede realizar un ataque diccionario o un ataque por fuerza bruta hasta obtener diversos métodos que se incluyan en otros archivos de código o contratos.

 

En este caso se encontró un método responsable del almacenamiento y modificación de la llave pública que controla el desbloqueo de fondos. Este método se encontraba en el contrato EthCrossChainData que, a pesar de ser un contrato diferente, el contrato vulnerado previamente, es decir, EthCrossChainManager, era su propietario, por lo que al ser parte de este, EthCrossChainData queda vulnerado también.

 

Una vez que se sustituyó la llave pública que controlaba los fondos fue posible enviar hacia cualquier dirección la cantidad deseada de fondos, que fue lo que realizó el atacante. Cómo vemos, únicamente se trató de una vulnerabilidad en una única función de las cientos de funciones que tiene el código, sin embargo, esta vulnerabilidad permitía obtener acceso a otros métodos y otros contratos, lo que desencadenó en la pérdida del dinero.

 

Cabe aclarar que el atacante devolvió los tokens y las transacciones a Poly Network, por lo que la empresa decidió contratar al hacker responsable del ataque como su nuevo especialista en seguridad, ya que, como argumentan ellos y los expertos de SlowMist, para encontrar esta vulnerabilidad requiere de mucho talento.

 

Es por ello que es importante revisar, probar y testear las diferentes aplicaciones, además de la infraestructura que se utilice al montar una plataforma, ya que los errores suelen pasar desapercibidos al momento del desarrollo,y sin embargo, durante el funcionamiento de las aplicaciones es donde generalmente se paga y muy caro.

 

¿Cómo podemos ayudarte?

 

En ID SEC GROUP podemos ayudarte con nuestra metodología TAC-SEC®, patentada y creada por nosotros para que se adapte a tus necesidades y a tu infraestructura, con el fin de encontrar todas aquellas vulnerabilidades y amenazas que pongan en riesgo tu negocio antes que sucedan ya que creemos firmemente que los hackers antes de un ataque generan un rastro, el cuál puede rastrearse y detectar que una amenaza o vector que parecia inofensivo se vuelva en una amenaza grave.

¿Comó funciona el virus de Facebook?

Imagen Articulo

Durante los últimos días han salido innumerables noticias y advertencias sobre un virus que se propaga a través de las redes sociales, principalmente en Facebook, en el que tus propios contactos te envían un mensaje llamativo, preguntando si eres tú la persona que aparece en un supuesto vídeo, para poder verlo tienes que ingresar a un enlace que se envía en el mensaje. Si abres el enlace y realizas ciertas acciones, ahora de esta forma ahora has sido infectado y ahora tú empiezas a enviar este mensaje a tus contactos de manera automática, ahora ya eres parte del virus.

 

Para entender mejor cómo atacar y defendernos, examinemos su funcionamiento:

 

1.- Todo comienza desde el atacante que crea el virus, este debe de replicarse a sí mismo cada que ciertas condiciones son cumplidas, por ejemplo, abrir un enlace o instalar un programa, por lo que el código es dinámico y se adapta al tipo de dispositivo que se esté utilizando. Además de que se emplean diversas técnicas para que no puedan ser detectados por los antivirus de los equipos y que además pasen el sistema de detección de Facebook, por lo que requiere de una gran ingeniería y conocimiento.

 

2.- El envío funciona por medio de un bot, que se encarga de enviar el mensaje a múltiples personas y que permite que pueda ser replicado una vez que un dispositivo ha sido infectado.

 

3.- Este código es enviado mediante el enlace, en el que se trata de llamar la atención del usuario, en este caso, con un supuesto vídeo en donde se encuentra la persona una miniatura de un vídeo borrosa o en negro, con alguna leyenda del título del vídeo acompañada del nombre de alguna plataforma de vídeos, como puede ser Youtube, Vimeo, etc., de modo que se gane la confianza del usuario para abrir el enlace. El cual utiliza un ocultador de links, para que el usuario no sepa de manera correcta que enlace está abriendo.

Imagen de video falso

4.- Generalmente el atacante crea una web idéntica a plataformas como Youtube, Vimeo o alguna otra página que le resulte familiar, esto para que usted piense que está en un sitio seguro y que no ocurre ningún peligro. Para ello él desarrolla su propia página web y la registra con un dominio bastante parecido al de la página real, de esta manera obtiene el certificado de SSL, que le permite mostrar en el navegador del cliente un candado en la barra de navegación, indicando que es un sitio seguro.

 

5.- Una vez que el usuario abre el enlace, hay diversos escenarios en los que el atacante puede obtener lo que busca. Por ejemplo, puede que el atacante sólo busque robar las credenciales de acceso de la cuenta en cuestión, para esto lanzará un mensaje en pantalla que le solicitará al usuario que le permite enlazar su cuenta con el sitio web para poder ver el vídeo, de modo que tendrá que ingresar nuevamente los datos de su cuenta, obteniendo así las credenciales de acceso.

 

Otro escenario común es que el atacante quiera instalar malware en su equipo, por lo que al ingresar al enlace, le pedirá que tiene que instalar un componente que le falta a su navegador, o la instalación de un “sencilla” extensión, que en realidad se tratará del malware. Aquí es donde realmente el atacante buscará su objetivo, que puede ser la extracción de información, la implantación de una puerta trasera para monitoreo y realizar futuras tareas, o solo, para robar más credenciales o información bancaria.

 

6.- Una vez que se han ingresado las credenciales o que se ha descargado el software malicioso, la página web no realiza ninguna otra acción, puede que se cierre la conexión entre el cliente y el servidor, o que únicamente no realice ninguna otra acción.

 

7.- Para el usuario puede parecer como una broma o que algo no ha funcionado bien, por lo que generalmente no realiza ninguna acción de prevención o de defensa porque no saben que han sido atacados. Sin embargo, ahora el mensaje con el virus se sigue propagando, porque ellos ahora compartirán el enlace sin que lo noten, ya que se envía de manera automática y para el usuario no es posible visualizar ni saber que ha enviado el mensaje.

 

8.- Finalmente, el atacante realiza las acciones necesarias para cumplir su objetivo y el ataque se detiene para ese usuario, aunque los daños ya están hechos.

 

Como vemos se trata de un virus bastante efectivo, ya que funciona con la manipulación de la gente, utilizando técnicas de phishing para que los usuarios ingresen sus credenciales o que simplemente instalen algún tipo de software. Es bastante común el abrir un enlace que es enviado por un contacto, sin embargo, hay que ser más precavidos, que ya no tenemos la certeza de que en realidad ese mensaje fue enviado por esa persona, o que sus intenciones siempre son buenas.