19:27 10/05/03
SIMULAN SER EL BBVA PARA ROBAR NÚMEROS DE TARJETAS, USANDO UN VIEJO TRUCO DE INGENIERÍA SOCIAL
Mercè Molist
La semana pasada, un número indeterminado de personas recibía un correo electrónico no solicitado donde se les instaba a rellenar el formulario de una página web, para ser clientes del servicio BBVAnet. Datos personales, número de tarjeta de crédito, fecha de caducidad e incluso el PIN iban a parar a la base de datos de los atacantes, cuya identidad se desconoce. Es la primera vez que este truco de ingeniería social se utiliza contra una entidad bancaria española.El Banco Bilbao Vizcaya Argentaria actuó con celeridad y, a las 24 horas, la web fraudulenta y el sitio donde se recogían los datos estaban fuera de línea. La web mostraba el logo de BBVAnet y parecía oficial, aunque sorprendía la cantidad de datos que pedía. El mensaje no solicitado también levantaba suspicacias: empezaba con un "estimado cliente del BBVA", aunque lo recibieron no clientes, y seguía: "Le comunicamos que próximamente, usted no (sic) se podrá subscribir en Banca Online". Una errata, a juzgar por el contenido, que instaba a suscribirse a BBVAnet, mediante un formulario en http://gruposbbva.nstemp.com.
La web estaba registrada en Estados Unidos, en la empresa Freeservers.com, que rápidamente la cerró. Según un experto consultado, "estaba todo hecho de forma profesional y con dedicación, ya que el código de la página que suplanta al BBVA está ofuscado. En vez de escribir el código HTML directo, está cifrado vía JavaScript y la construcción del formulario se hace en el navegador del usuario. Así, pueden saltarse los sistemas de filtrado de contenido y hace que el rastreo sea relativamente complicado".
El origen del mensaje es igualmente oscuro: "Se ha enviado desde una conexión ADSL, pero viendo el nivel de complejidad de la página HTML, apostaría que se ha secuestrado una máquina con poca seguridad, para lanzar los mensajes. Me costaría mucho creer que se haya molestado tanto en ofuscar el código HTML y después utilizar para el envío una máquina fácilmente identificable y rastreable, que no disponía de ninguna medida de seguridad, ni las más básicas, permitiendo conexiones anónimas y remotas vía Internet a las unidades de disco compartidas", afirma el experto.
El banco desconoce cuántos datos se obtuvieron ni si se han realizado operaciones con ellos. Aunque esta técnica de ingeniería social es conocida en los manuales, es la primera vez que se conoce su aplicación masiva suplantando a una entidad financiera española. Algo parecido sucedía a principios de mayo en Gran Bretaña, según publicaba "eWeek": "Se están enviando mensajes fraudulentos a los clientes de First Union, donde se les pide que visiten una web e introduzcan sus nombres de usuario y contraseñas. Sólo mirar la web ya trae problemas, porque instala automáticamente un troyano en la máquina del visitante. No está claro cómo el atacante ha tenido acceso a las direcciones de correo de los clientes del banco".
La Ingeniería Social es el arte de hacer que otros hagan o digan lo que uno quiere, abusando de su confianza, inocencia o ganas de caer bien. El diccionario "Jargon File" habla de "técnicas que se aprovechan de las debilidades de las personas, con el objetivo de conseguir sus contraseñas u otra información. Un truco clásico es telefonear a la víctima diciendo que eres un técnico con un problema urgente". La Ingeniería Social usa desde hace tiempo las herramientas de la red, igual que el teléfono o el contacto directo.
Uno de los trucos más comunes en el chat ha sido engañar a alguien para obtener sus datos de acceso a Internet y usarlos gratuitamente. La misma intención tienen el mensaje o la llamada de un presunto técnico del proveedor, que pide los datos de conexión para una comprovación rutinaria o porque se han perdido. "El método más fácil para conocer la contraseña de alguien es preguntándoselo", dicen los expertos. Recientemente, se hacía la prueba, patrocinada por InfoSecurity Europe 2003, en una estación central de Londres: nueve de cada diez oficinistas aceptaron revelar sus contraseñas a cambio de un bolígrafo.
En su "Curso de Ingeniería Social", LeStEr ThE TeAcHeR explica cómo recopilar datos financieros: "Un caso que requiere una especial atención es la simulación de mails que provienen de servicios de banca por Internet. Como todo, son sencillamente suplantables. Basta con crear un mail en HTML utilizando las imágenes y los formatos de alguna de estas entidades, pero enviándolo desde cualquier otra cuenta. Conozco casos en los que un usuario recibe un mail que parece provenir de un banco conocido y que luego lo redirige a un formulario falso, en el que se le hace escribir su contraseña de acceso y ésta es guardada en una tabla, o enviada por mail a una dirección donde luego se
utiliza de forma fraudulenta. A continuación, dicho usuario es enviado a la página real del banco, tras haber recibido una pantalla de error".Kevin Mitnick da cuenta también de este tipo de engaño en su libro "The art of deception", con un ejemplo real y muy parecido al fraude del BBVA: "Un día del verano de 2001, Edgar recibió un mensaje de PayPal, una compañía que permite hacer pagos rápidos por Internet y que Edgar usaba para hacer compras en eBay: "Apreciado cliente; Paypal quiere darle 5 dólares de crédito. Sólo tiene que ir a la página http://www.paypal-secure.com/cgi-bin y actualizar su información".
Pero éste no fue el primer engaño bajo el nombre de PayPal. En enero del 2000, la compañía publicaba un aviso después que un correo masivo invitase a sus clientes a conectarse a www.paypai.com y dejar sus datos: "Hay muchos artistas del fraude que os enviarán correo pretendiendo ser vendedores o sitios con los que habéis tenido negocios en el pasado. No sólo Pay Pal, también EBay, AOL y otras compañías. Usualmente os darán una dirección web duplicada, con la dirección ligeramente diferente de la auténtica, y os pedirán que reveléis los datos de vuestras tarjetas de crédito, nombres de usuario o contraseñas".
En marzo del 2002, le tocaba el turno a Visa, con un un mensaje que cruzó el mundo: "Alerta de fraude. Visa USA Fraud Control ha sabido de la existencia de un engaño para obtener datos personales de nuestros clientes. Lamentamos comunicarle que hemos cancelado su tarjeta de crédito, de acuerdo con el artículo 205 del capítulo 210 del departamento de fraude internacional. Sospechamos que su tarjeta está implicada en actividades criminales. En los próximos dos días uno de nuestros investigadores contactará con usted por teléfono para verificar sus datos".
Aunque, como dice Mitnick, "¿por qué dedicarse a robar los números de tarjetas uno por uno, cuando puedes entrar en la mayoría de compañías de comercio electrónico y coger todas sus bases de datos?".
E-Mail Hoax Targets First Union Customers
http://www.eweek.com/article2/0,3959,1068224,00.asp
Office workers give away passwords for a cheap pen
http://www.theregister.co.uk/content/55/30324.html
Fraude de PayPal
http://hoaxinfo.com/paypal.htm
Fraude de AOL
http://hoaxinfo.com/aolscam.htm
Fraude de Visa
http://hoaxinfo.com/creditfraud.htm
CIAC scam chains
http://hoaxbusters.ciac.org/HBScams.shtml#corruption
Curso de Ingeniería Social
http://lestertheteacher.cjb.net/
Breves conceptos sobre la Ingeniería Social
http://virusattack.xnetwork.com.ar/articulos/VerArticulo.php3?idarticulo=4
Ingeniería social
http://www.iec.csic.es/criptonomicon/articulos/expertos72.html
Nociones de ingeniería social
http://www6.gratisweb.com/disidents/ascii/ezine/nocionesis.html
SANS. Social Engineering. What is it?
http://rr.sans.org/social/social.php
Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.