domingo, febrero 13, 2022

La Policía Nacional Española detiene a cibercriminales que robaban cuentas bancarias con suplantación de identidad en el mundo físico

Esta semana ha habido varias noticias interesantes, y la segunda que me han llamado la atención ha sido la publicada por la Policía Nacional Española, donde informaban de la detención de una banda de 8 cibercriminales que se dedicaban a robar cuentas bancarias, haciendo los ataques de la forma más sencilla y curiosa posible. 
El ataque que realizaban consistía primero en robar la identidad de una persona propietaria de una cuenta bancaria. Es decir, por medio de ataques de Spear Phishing vía correros electrónicos y mensajes SMS o WhatsApp, - que los bancos también se han conectado a WhatsApp - convencían a sus víctimas para robarle los usuarios y contraseñas de los bancos, además de solicitarles documentos personales, entre ellos, el DNI o el pasaporte de la víctima.
Una vez conseguido el DNI o el pasaporte, además del número de teléfono, se dedicaban a ver cómo conseguían un duplicado de la SIM para conseguir que les llegaran los mensajes de firma digital en 2FA de las aplicaciones bancarias, y para ello, probaban en diferentes tiendas con diferentes estrategias para conseguir un duplicado de la SIM en la misma compañía o un SIM Swapping a otra compañía


Y para hacerlo, hacían un proceso de suplantación de identidad en el mundo físico. Es decir, se iban a una tienda con un DNI o pasaporte falsificado - con la foto suya y los datos de la persona - o con una copia del DNI o el pasaporte original, y una caracterización suya similar a la persona de la fotografía, es decir, con una suplantación de la víctima en toda regla. Nada más fácil que lo evidente.

Cómo funciona este ataque

Lo más curioso es que, para hacer esta ataque dirigido a personas, no es nada complicado si la persona es descuidada. Y es un ejemplo de muchas de las cosas de las que hablé en la campaña del Día de Internet Segura que hice con TikTok, que os cuento.

- Ataque de Spam Phishing: Tu dirección de correo es tu usuario y muchas redes sociales, y no debería ser público. Si cae en bases de datos de Spam por ser público, te llegarán ataques de Spam Phishing bancarios, que, como decía en el vídeo, sigue siendo el principal foco de ataque a las personas a través de Internet. Para desincentivar esto, se creo MyPublicInbox, de tal forma que la forma de contacto público que se utiliza es un buzón protegido con Tempos.
Figura 4: @chema_alonso El #phishing sigue siendo el mayor riesgo #saferinternetday #escapadelhate #seguridadentiktok #diadeinternetsegura #diadeinternetseguro #email ♬ One Step Closer - Linkin Park
- Ataque de Spear Phishing: Para hacer un ataque dirigido, la forma más fácil para un atacante es conocer de ti lo que publicas en las redes sociales. Es decir, los datos que publiques en tus redes sociales se utilizan para hacerte buenos ataques de Spear Phishing porque los cibercriminales se leen tus publicaciones antes de hacerte un ataque dirigido.
Figura 5: @chema_alonso Los cibercriminales se leen tus redes sociales, cuidado con lo que compartes #saferinternetday #escapadelhate #seguridadentiktok #diadeinternetsegura ♬ One More Light - Linkin Park
- Spear Phishing por SMS o WhatsApp a número de teléfono: De igual forma forma que una dirección de e-mail puede caer en una base de datos de Spam Phishing, el número de teléfono también puede caer en una de esas bases de datos, y en muchas ocasiones, estos números se filtran. Ya os conté el caso de Pipl que filtraba los números de teléfono, y antes tuvimos mucho tiempo Infobel dándote números de teléfono de personas.

- Segundo Factor de Autenticación: Cuando creamos Latch, una de las características que más nos molaba es que imposible saber qué cuenta de Latch debes atacar una vez que has vulnerado una cuenta, ya que con un SMS o cualquier otro mensaje OTA u OTT vía app que vaya a un número de teléfono, el atacante sabe qué debe robar. Con Latch, no sabe qué cuenta debe robar nunca.
Figura 6: @chema_alonso Pon un 2FA (Segundo Factor de Autenticación) en tus identidades digitales #seguridadentiktok #saferinternetday #diadeinternetsegura ♬ The Kill (Bury Me) - 30 Seconds To Mars
- DNIe: El problema de no haber masificado el uso del DNIe para probar la identidad de una persona - y que todavía tengamos documentos DNI NO electrónicos - hace que siempre sea posible presentar un documento que no obligue a forzar la firma digital para probar la identidad.

- DNIs y Pasaportes falsos: Los documentos más antiguos - legados - son aún fáciles de falsificar, y en la Deep Web, hace años, que se venden documentos de diferentes países y formatos. Así que si alguien quiera algo medio- profesional, no es tan complicado.

Figura 8: Decenas de DNIs disponibles en las primeras búsquedas de eMule

- DNIs y Pasaportes publicados en redes sociales y eMule: No es la primera vez que yo mismo hago una prueba a ver qué nivel de seguridad tiene la gente con sus documentos de identidad, y en redes sociales publicados y hasta en el eMule compartidos era fácil localizar DNIs.

Reflexión Final sobre el leak del DNI en webs de banca online

Teniendo en cuenta lo que se necesita para hacer este ataque, que a la postre son, credenciales de acceso a banca online, número de teléfono, y DNI para conseguir el duplicado de la SIM, y viendo cómo funcionan estos atacantes, pueden empezar por cualquiera de los puntos de la cadena. Por ejemplo, comenzar con una base de datos de Spam Phishing probando bancos aleatoriamente, y una vez obtenidas las credenciales, descubrir sus datos, y buscar su número de teléfono su DNI

Figura 9: Leak del login con el DNI. Si el DNI no está registrado
en este banco, te da un mensaje de error.

O viceversa. Es decir, buscar primero un DNI, descubrir a qué banco pertenece - que algunos de ellos también sufren del "Leak del Login" pero en DNI, y luego hacerle el ataque de Spear Phishing para robarle las credenciales bancarias una vez que lo hayan estudiado.

Figura 10: Cómo el DNI está registrado en el banco, comienza
el proceso de recuperación de claves y te da los últimos 4 dígitos
de la tarjeta de crédito que tiene ese DNI.

Es decir, cualquier dato que acabe siendo público en Internet que sea personal o informativo de tus servicios, va a ser utilizado en este tipo de ataques, porque siempre les va a ser mucho más fácil. Así que, ten mucho cuidado con todas tus identidades digitales, y con tu propia identidad personal.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


1 comentario:

goutthoven dijo...

Muy interesante Artículo! Gracias

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares