Phishing para bobos

Ayer publicamos nuestro informe anual, que incluye mi tema favorito: cómo va a cambiar el ambiente de las amenazas virtuales en 2009. Una de las cosas que esperamos ver es un aumento en el número de ataques phishing y estafas en Internet:

“En segundo lugar, la sofisticación técnica que se necesita para desarrollar y propagar nuevos programas maliciosos forzará a muchos cibercriminales a buscar formas más baratas y simples de ganar dinero. El phishing puede ser una de las soluciones más atractivas”.

Además, ya sea por coincidencia o a propósito, ayer recibí un correo electrónico que es un ejemplo perfecto de lo que menciono arriba: una estafa que es fácil y barata de realizar.

Asunto: Por favor vea el archivo adjunto. Remitente (falso): Dirección de Impuestos Internos [nonereply@irs.gov]. Por favor vea el archivo adjunto, verifique que ha llenado todas las columnas y envíe un fax a: +1-646-308-1145.

Este tipo de correo phishing ha estado rondando la red por algún tiempo, pero es la primera vez que recibo un correo como este: tal vez sólo es que tengo suerte, porque mi dirección de correo está en todas las bases de datos de los spammers 🙂

Este tipo de ataque se llama ‘offline phishing’ (phishing desconectado); los usuarios maliciosos ni siquiera se dan el trabajo de crear un sitio falso, sólo piden que envíes todos tus datos por fax. El utilizar un número de fax da mayor credibilidad al ataque: la mayoría de las personas ha escuchado de sitios phishing, pero el phishing por fax es menos conocido. Además, la combinación del departamento de gobierno y el número de fax encaja a la perfección con la percepción de que las instituciones públicas siguen utilizando tecnologías antiguas.

Entonces, ¿qué peligro representan estos mensajes? (Además del obvio factor de estafa). Los programas adjuntos al mensaje pueden contener programas maliciosos: el ejemplar que yo recibí en mi correo tenía dos documentos de Word adjuntos. Nada hace que este tipo de archivo sea por naturaleza menos peligroso que los ejecutables. Si ha estado al tanto de las noticias, seguramente conoce el caso de la vulnerabilidad sin parche de Adobe PDF Reader, que se está explotando utilizando archivos OLE. Ese es sólo un ejemplo de la amenaza que los archivos MS Office de fuentes desconocidas pueden representar.

Pero, como somos expertos, sabemos cómo abrir archivos como éste de una manera segura. Así que lo hicimos para echar un vistazo a lo que el correo electrónico quería de nosotros.

Esto es lo que encontramos en el archivo llamado Form W-4100B2 A1.doc.

Y esto es lo que hallamos en el archivo llamado Form W-4100B2A2.doc.

Está claro que la información que se pide es la misma de la que siempre se escucha hablar en los informes sobre pérdidas de datos. Y es el tipo de información que los usuarios maliciosos pueden utilizar para cometer mil y un crímenes… ¡todos bajo tu nombre!

Veamos estos documentos con más profundidad para analizar sus propiedades.
El segundo archivo dice ser FORM W-4100B2. Una búsqueda rápida en Google muestra resultados de correos spam de noviembre de 2008. Aquí podemos ver una muestra de ello. Como se puede observar, lo único que ha cambiado desde noviembre es el número de fax.

Sin embargo, las propiedades del documento muestran que solía llamarse FORM W-8BEN (NRA Recertification). Otra búsqueda rápida en Google muestra entre sus resultados estafas que utilizaron este documento desde principios de 2007 hasta mediados de 2008.

No es ninguna sorpresa que este formulario es casi idéntico a un documento IRS legítimo que lleva el mismo nombre. La única diferencia es que el formulario original dice de forma clara “No enviar FORM W-8BEN a esta oficina. Entréguela a su agente de impuestos”, en vez de pedir que devuelvan la información por fax”.

Así que las propiedades del archivo muestran el nombre antiguo del archivo, aunque está circulando en la actualidad bajo un nombre distinto. Es casi seguro que la misma persona (o grupo de personas) está detrás de todos los ataques: sólo reutiliza el archivo original haciéndole algunas modificaciones. Incluso sabemos que la última vez que se hizo esto fue el 22 de noviembre de 2008.

Creo que eso es muy triste. Alguien ha estado enviando estos mensajes por al menos dos años, y su única forma de actualizar su ataque consiste en cambiar el número de fax y el nombre de los documentos. Y parece que esto no le causa ningún problema.

Véalo con sus propios ojos. Fíjese en el número: +1-646-308-1145. Sólo está relacionado al ataque actual. Vea las quejas de las víctimas. Mire el sitio IRS que contiene información sobre ataques de este tipo. ¿Qué se está haciendo al respecto? Por lo que puedo percibir, nada.

No conozco las partes de la ley estadounidense que hablan del anonimato para los dueños de números telefónicos. Sólo me parece extraño que por tanto tiempo los que están llevando a cabo estos ataques hayan estado cambiando sus viejos números por otros nuevos sin que nadie haya tratado de ubicarlos y arrestarlos.

Protéjanse Uds. mismos y cuiden sus datos personales. “Phishing para bobos” va a ver cada vez más frecuente en 2009. Es fácil. Es barato. Y, por el momento, no parece haber ningún grave peligro de ser arrestado.