domingo, noviembre 14, 2021

Linkedin y la elección de la víctima propicia en un ataque contra la persona que maneja el dinero de tu empresa

Las sucursales de los bancos se atracaban porque era ahí donde estaba el dinero. Y la de películas que hemos visto con asaltos a cajas fuertes buscando el dinero. Sin embargo, en nuestro mundo de hoy en día, el cibercrimen hace ataques más sibilinos para robar el dinero a las empresas. El dinero se consigue con una transferencia bancaria desde la cuenta adecuada a la cuenta adecuada. Y el ciberciminal "solo" tiene  que encontrar quién controla esa cuenta y cómo se hace para que la cuenta de destino sea la suya.

Figura 1: Linkedin y la elección de la víctima propicia en
un ataque contra el maneja el dinero de tu empresa

En el año 2020, durante el confinamiento más duro, yo di una charla para los equipos financieros de las empresas, porque son ellos los que van ser más atacados por el mundo del cibercrimen. Son los objetivos porque son los que tienen las claves del banco. Son los que pueden hacer esas transferencias. Y los cibercriminales se lo saben pero que muy bien.


Figura 2: Cómo los malos atacan a los financieros

Una vez que saben quién es el objetivo, el resto será hacerle un ataque al financiero con un Spear Phishing, con Inteligencia Artificial suplantando la voz en una llamada, con un ataque combinado de IA y correo electrónico habiéndole robado antes el usuario y la contraseña, con el robo de un token OAuth de su correo electrónico para hacer que se envíe el pago de una factura a otra dirección, o con un APT vía WhatsApp usando la suplantación de los ejecutivos en esta red. Lo que sea menester para que el dinero acaba en sus manos.

Encontrando al víctima propicia con LinkedIN

Pero antes hay que localizar al objetivo. ¿Y cómo hacerlo? Pues es un sencillo ejercicio de OSINT en la red, pero hoy en día, la mayoría de las empresas tienen volcada su estructura de gobiernos en la red social por excelencia para esto: Linkedin. Así que no es nada complicado, basta con buscar el cargo de la persona que necesitas atacar en la empresa, y listo.

Figura 3: Libro Open Source INTelligence (OSINT):
Investigar personas e Identidades en Internet
de Vicente Aguilera y Carlos Seisdedos en 0xWord

Yo he hecho unas sencillas consultas esta mañana, y es sorprendente lo fácil que es encontrar qué personas hacen transferencias bancarias en las empresas. Sin necesidad de adivinar mucho, y con mucha facilidad, se encuentran personas que explican que ellos son los responsables de hacer el movimiento de dinero en las empresas.

Figura 4: Directora de ... Transferencias y Pagos

Por supuesto, si vemos desde el punto de vista de seguridad lo que significa esta explicación pública de la estructura de funciones de una empresa, va contra cualquier lógica de lo que quiere un departamento de seguridad, y un CISO. Pero asumiendo que Linkedin está y es lo que es, lo que quizá necesitemos es cierta prudencia en las personas a la hora de publicar exactamente sus funciones detalladas, especialmente si manejan el dinero de las empresas.

Figura 5: Otras cosas que han buscado los usuarios

Cuando he ido a hacer las pruebas, me han salido sugerencias de otras consultas que han hecho otros usuarios de la plataforma, y la verdad es que me llama la atención que la consulta de "Transferencias y Pagos" se haya hecho por muchos otros usuarios. ¿Tendrá alguno de esos usuarios de Linkedin que han hecho esas consultas similares malas intenciones y estará buscando víctimas propicias para ser atacadas? Seguro. Vigila lo que publican los empleados de tu empresa. He visto cosas.... que no deberían estar públicas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


2 comentarios:

tenderodigital dijo...

Lo peor del asunto es que los bancos tienen fáciles herramientas a su alcance para hacer esto algo más complicado. Este mes en mi empresa de las mañanas (un banco) se presentó un concurso para mejorar la seguridad de nuestros clientes al operar en banca a distancia.

Presente una docena de ideas. Pero había una que de tan simple... ni me la han aceptado. Yo creo que por vergüenza de que alguien de la red les explique a los de Servicios Centrales como hacer el trabajo.

En lo que llevamos de año he visto varios ataques como los que describes. Y el impacto en las cuentas de nuestros clientes han sido pérdidas de 4 y 5 cifras en euros. Y no una ni dos veces. Tengo un cliente que puede que vaya a la quiebra por sufrir este tipo de engaño. Por cierto todas las operaciones eran pagos a proveedores extranjeros mediante transferencias internacionales.

Así que pensé como el Banco podría mejorar la seguridad sin molestar mucho al cliente y sin que nos costase mucho el desarrollo. La idea es tan estúpida como comprobar que la cuenta beneficiaria de la transferencia sea de un banco del país de la dirección del beneficiario (en todos los ataque los bancos que recibían el dinero eran de esos con normas bancarias más relajadas...)Algo que es muy fácil de añadir a la banca online y que pare el cliente comporta pocas molestias.

A veces los intermediarios podrían poner más de su parte. Pero claro si no propone la idea un consultor que reparta algo entre los que deciden... la cosa pinta mal.

Gonzaluskax dijo...

@tenderodigital también es muy fácil dar cursos de seguridad informática a las personas hacen transferencias bancarias en las empresas

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares