domingo, agosto 18, 2019

¿Has recibido un e-mail que dice que tienen tu contraseña? Pues probablemente la tengan, que se han filtrado ya más de 8.000 Millones de identidades.

Este tipo de estafa ha sido una de las recurrentes durante los últimos meses. Mucha gente se ha puesto en contacto conmigo preguntándome por cómo actuar con este tipo de mensajes de correo electrónico, así que os lo dejo en un artículo. ¿Lo has recibido tú? ¿o un familiar? Se ha puesto muy de moda y ha conseguido que mucha gente se asuste, e incluso muchos paguen. La razón es bastante sencilla, en ese correo electrónico estaba la contraseña y en muchos casos era la contraseña de verdad.

Figura 1: ¿Has recibido un e-mail que dice que tienen tu contraseña? Pues probablemente la tengan.

De este tipo de mensajes he visto tres tipos diferentes, unos más antiguos, otros más modernos y que utilizan técnicas similares. Os los explico para que los conozcáis, y si os habéis encontrado con alguno diferente y lo ponéis en los comentarios, genial.

1.- Info Leaks para hacer extorsiones

Lo que sucede es que se basa en hacer uso de los leaks de identidades que se hacen públicos en Internet, y automatizar el envío de mensajes de e-mail para llegar a más gente posible, asustar a todos los que sea posible y conseguir el dinero que algunos pagan - no muchos, la verdad -.

Figura 2: Extorsión hecha con la filtración de Ashley Madison

Uno de los primeros ejemplos de este tipo de técnicas se vio en la filtración de datos de Ashley Madison, donde los clientes de esta red social para tener aventuras sexuales extra-matrimoniales se vieron expuestos. Todos ellos se vieron afectados, e incluso alguno llegó al suicidio. La técnica era sencilla, automatizar el envío de mensajes a las víctimas amenazándoles con una extorsión futura en sus redes sociales y pedir dinero. Ojo, que esta filtración de datos también fue utilizada por empresas de seguridad para ofrecer servicios de protección.

2.- Sextorsión basada en malware

Ya hemos hablado muchas veces de las sextorsiones. Se basan en grabar a la gente con la webcam de la computadora mientras está viendo pornografía o en una sesión se sexting. Ya he hablado muchas veces del malware tipo R.A.T. (Remote Administration Tool) que se usan para grabar a las personas con la cámara del equipo propio, y de las grabaciones que se hacen de personas "gancho" para hacer sexting en sitios como ChatRoulette o similares.

Figura 3: Personas extorsionadas por sexting

Pues bien, bajo esta idea, y con todo el ruido mediático que se levantó, apareció otra oleada de estafadores que lo que hacían era enviar masivamente a todo el mundo - un SPAM masivo en toda regla - diciéndole que le habían grabado viendo pornografía con un R.A.T. Como las probabilidades de dar con alguien que haya visto pornografía parece que son altas, el negocio es hacer el SPAM y recibir el dinero en la cuenta de BitCoins.

Figura 4: La chulería es grande, y el final... "visit only secure sites". Priceless

Este tipo de mensajes podía ser real. Se ha detectado malware que se activa en muchas páginas de sitios de contenido adulto pornográfico para grabar a las personas y hacer sextorsiones. Mi recomendación es que tengas un buen antimalware, mucho cuidado dónde navegas, y que tapes la webcam. Es decir, el e-mal de la Figura 4 se basa en todo lo anterior para aprovecharse del miedo popular a estas cosas. Todo el mundo ha oido historias de sextorsión, así que si se recibe ese mensaje y no se tiene mucho conocimiento... a lo mejor se paga.

3.-  La extorsión de tengo tu password

El funcionamiento es bastante sencillo. Supongamos que se pone a la venta, o disponible en la DeepWeb - merece la pena el libro de Daniel para que conozcas bien cómo funciona este mundo -, o simplemente disponible para todos en mil rincones de Internet, una nueva base de datos de un servicio de Internet, o de una empresa que ha sido hackeada, o de una filtración hecha por un insider.

Figura 5: Libro Deep Web: TOR, FreeNET & I2P

Si en esa base de datos hay cuentas que están identificadas por direcciones de correo electrónico públicas, algo muy normal, se puede asumir que esa persona ha podido repetir la contraseña, así que los cibercriminales se inventan un mensaje de correo electrónico muy sencillo que envían a dirección de e-mail que se ha filtrado, informándole de que la contraseña se la han hackeado - y se la escriben - exigiendo un pago en un cuenta de alguna criptomoneda, normalmente BitCoin, que para las personas se ha convertido en una cosa que les suena y más o menos entienden. Esto se puso muy de moda el año pasado.

Figura 6: Tienen tu password... y va en el e-mail

Si da la casualidad de que esta contraseña es la correcta de muchos servicios, y la persona se asusta de verdad, puede que haga el pago, ya que no son cantidades excesivamente grandes. De esta manera, un grupo de cibercriminales puede automatizar una filtración y sacar réditos con las personas que se asusten y repitan la contraseña. Además, como se ve en el ejemplo, algunos amenazan con haberla usado otra vez en la grabación de escenas sexuales.

Figura 7: 8 Billions de identidades filtradas. Seguro que tú también estás.

Como recomendación, tener una alerta en un sitio como HaveIbeenPwned que te da una alerta cuando se filtra una identidad asociada a ti, es una buena idea para que te des cuenta de lo fácil que te puedes ver expuesto hoy en día.

¿Qué hacer para evitar esto?

Como os podéis imaginar, en todos estos casos no se busca hacer el ataque finalmente, y se basa en maximizar el proceso de capturar una filtración, hacer un SPAM y recibir dinero. Fácil y rápido. Lo ideal para evitar que el ataque sea de verdad, es decir, que alguien se aproveche de una credencial tuya filtrada es seguir las recomendaciones básicas de seguridad en identidades digitales, como son:
1.- No repetir contraseñas utilizadas en servicios: Justo, justo, justo, justo esto es por que si hay una filtración en un servicio, esa contraseña no pueda ser utilizada para vulnerar otros servicios que hayan sido descubiertos - y descubrir los servicios asociados a una dirección de e-mail es algo bastante común. Nosotros lo hacemos en nuestro Dirty Business Card.
2.- No usar contraseñas basadas en patrones ni predecibles: Ya sabes. "ContraseñaDeTwitterAzul", "ContraseñaDeXAzul" "ContraseñaDeFacebookAzul", "ContraseñaDeGmailAzul". Si cae una, caen todas. Que se lo digan al gran Dan Kaminsky. Ni tampoco cosas como tu fecha de nacimiento, tu apellido, el nombre de soltera de tu madre.
3.- Tener un Segundo Factor de Autenticación /Autorización: Si el servicio permite tres factores, pues se ponen tres. Pero como mínimo un Segundo Factor como nuestro querido Latch o Latch Cloud TOTP para proteger las identidades

Figura 9: Proteger tu cuenta Gmail & Google con Latch Cloud TOTP

4.- Gestores de contraseñas: Utiliza un gestor de contraseñas, a ser posible en local y no en cloud. A mí eso de dejar las passwords de todos mis servicios en la cloud no me parece una muy gran idea. Pero tú decides.
5.- Usar sistemas de autenticación no basados en contraseñas: Como sabéis, las contraseñas hay que erradicarlas y poner sistemas de autenticación robusta como dispositivos físicos, canales paralelos de autenticación, smartcatds, etcétera. Si el servicio lo permite, no lo desaproveches. De eso he hablado mucho, mucho, mucho por este blog, y os dejo el artículo que resume cómo debería gestionarse la Autenticación en una organización.
Y lo principal, que la gente esté informada de cómo funcionan estas técnicas ayuda pero hay que lograr que se "OCUPE" además de que se "PREOCUPE" de la gestión de sus identidades en Internet y la seguridad de sus dispositivos, que si no, de poco sirve.

Saludos Malignos!

1 comentario:

samuelRS2 dijo...

He recibido uno de estos mensajes hace poco.
Por seguridad he formateado, y cambiado todas mis contraseñas.
El antivirus que tengo es versión gratuita, pero no se que tal es en general.
Utilizo AVAST.
Te parece bueno? Cual me recomiendas?
Quiero poner un antivirus de pago que sea bueno (dentro de sus limitaciones, obviamente).

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares