martes, febrero 09, 2016

"Doxean" los datos de 20.000 Agentes del FBI con un ataque de Spear Phishing

Hace solo unas horas, un atacante ha publicado una lista de 20.000 cuentas de Agentes del FBI asociados a sus nombres, cargos y direcciones de correo electrónico. La información ha sido volcada en la red, y anunciado mediante una cuenta de Twitter bajo el nombre de Penis en la dirección @dotgovs y, según parece el atacante ha sido por motivos políticos, ya que en la publicación se ha hecho referencia a un hash que apoya la liberación de Palestina.

Figura 1: "Doxean" 20.000 datos de Agentes del del FBI con ataque de Spear Phishing

Se conoce como doxing al conjunto de ataques o actividades en la red que tienen como objetivo desenmascarar identidades físicas detrás de identidades digitales. Esta ha sido una de las tareas que Anonynous se tomó en serio detrás de su respuesta a los ataques terroristas de ISIS en París. En este caso, la publicación de estas 20.000 cuentas de Agentes del FBI son una base de datos que parece que han conseguido desde un equipo del DoJ (Department of Justice) de Estados Unidos por medio de un ataque de Spear Phishing.

Figura 2: Anuncio de la publicación de los datos

Los ataques de Spear Phishing son ataques dirigidos a personas concretas para conseguir robar credenciales de acceso a sistemas de información de la compañía. Son como los ataques de Spam Phishing en cuanto a la técnica, es decir, utilizan suplantaciones de correos electrónicos o dominios que engañen a los usuarios para la captura de datos, pero están redactados y escritos pensados en convencer a una única persona, la víctima. Es decir, son ataques muy dirigidos a una persona o un grupo de personas de una organización y por eso tienen un alto grado de efectividad.

Como la mayoría de los sistemas internos de las organizaciones no cuentan con implantación de sistemas de autenticación de segundo factor, una vez que el atacante consigue la cuenta y acceso al sistema, ya tiene todo lo que necesita para estar durante largo tiempo, accediendo a los datos, y es por ello que hay que entrenar a los empleados a no caer en este tipo de ataques y proteger todas las identidades internas de la organización con medidas de seguridad.

Figura 3: Paste Cifrado con los datos

Los datos que este hacktivista ha volcado están en un CriptoPaste, un sistema de publicación de pastes que usa cifrado de datos para evitar el escaneo continúo que hacen los sistemas de cibervigilancia continuo de las empresas de seguridad. Para ver el contenido hay que ir a la URL del sitio e introducir la clave, que en este caso ha sido "lol".

Figura 4: Paste con los datos descifrados

El atacante dice que también tiene datos de 9.000 empleados del Department of Homeland Security, otra organización de la que hace poco sabíamos que también adolecía de medidas de seguridad robusta en sus sistemas internos, con falta de segundos factores de autenticación, sistemeas sin actualizar o bugs de SQL Injection en sus aplicaciones web internas, gracias al informe de seguridad del DoH mes de Noviembre de 2015 que se publicó.

Figura 5: Algunos de los bugs en el DoH reconocidos.

No es la primera vez que un ataque de Spear Phishing se utiliza para robar los datos de una gran empresa u organización - ya lo vimos en el caso de la RSA Conference no hace mucho tiempo o el que se hizo a la propia Casa Blanca- y lo seguiremos viendo. Mientras que algunas compañías se empeñan en gastar dinero en tecnología de lo más moderna para cumplir con las modas del mercado, dejan mucha low-hanging fruit y cosas básicas sin hacer, y la gestión de las identidades internas y la lucha contra el Spear Phishing mediante entrenamiento de los empleados es esencial. Los buenos CSO, CISO y CIOs lo saben.

Saludos Malignos!

No hay comentarios:

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares