Archivo de la etiqueta: ataques

Timo del príncipe nigeriano

Timo del príncipe nigeriano en acción 🙂
Fuente original: Alberto Montt

Se conoce como «El timo del príncipe nigeriano» a un intento de estafa que se popularizó a través de correos electrónicos no solicitados donde, se informaba al receptor de la muerte de un príncipe nigeriano, que había dejado parte de su herencia bloqueada en cuentas extranjeras, y se solicitaba al receptor del correo que se pusiera en contacto para gestionar cómo podía desbloquearse dicha cantidad quedándose, en agradecimiento, una comisión.

Procedimiento

El timador intercambia correos electrónicos hasta conseguir una cierta confianza con la víctima (envía fotos, capturas de pantalla, documentación escaneada, etc.) para posteriormente indicarle que hay un problema burocrático previo al envío de la cantidad de dinero acordad que debe resolverlo la víctima. Este problema burocrático implica una cantidad de dinero variable. Si aparece alguna suspicacia el estafador seguirá con la cadena de correos para mantener la confianza hasta que la víctima decida pagar esa cantidad para obtener el beneficio mayor.

Fuente imagen: NoticiasDot

Resumiendo:

Recepción de un correo electrónico. Estos correos son enviados de forma masiva y, aunque los sistemas antispam bloquean la gran mayoría, llegan a la bandeja de entrada de la víctima.
Recopilación de información. Una vez la víctima contesta al correo empieza la recopilación de información por parte de los estafadores para conocer el estado de la víctima (casado, hijos, capacidad económica, etc.). esta fase puede durar incluso semanas para dar confianza a la víctima.
Primera solicitud de dinero. Los estafadores suelen solicitar un primer cobro de una cantidad no excesiva para probar el nivel de enganche de la víctima.
Segunda petición de dinero. Si la víctima ha llegado a este punto los estafadores siguen complicando su historia para ofrecer una mayor recompensa a cambio de una inversión ya mayor (la cantidad dependerá de lo que estimen que pueden estafar según la información recopilada).
Sucesivas peticiones. Si la víctima sigue enganchada seguirán intentando sacarle más dinero hasta que crean que ya no hay más posibilidades cuando, simplemente, desaparecerán.

Como se puede observar es una estafa laboriosa para los delincuentes (lleva semanas o incluso meses de comunicaciones) por lo que los primeros correos están escritos, de forma deliberada, con gran cantidad de faltas de ortografía, frases sin sentido y ausencia total de sintaxis. La idea es que tan sólo aquellas personas muy confiadas piquen el anzuelo ya que los estafadores no podrían gestionar la gran cantidad de posibles víctimas si estos primeros correos de contacto estuvieran bien elaborados.

Variantes del timo nigeriano

Con el tiempo este tipo de estafa ha ido variando las historias utilizadas para intentar atraer a nuevas víctimas, pero el procedimiento es el mismo: primero, desde un correo spam, se ofrece una oportunidad única (generalmente dinero); posteriormente se intercambian correos para conseguir dar confianza; y finalmente se solicita un adelanto económico.

Durante la segunda Guerra del Golfo la historia del príncipe nigeriano mutó a la de un comando estadounidense que había encontrado una gran cantidad de dinero en efectivo en el sótano de un palacio. Solicitaban ayuda para poder hacer una transferencia electrónica ya que, por motivos obvios, no podían mover el dinero físicamente. Hubo variantes, menos difundidas, de unidades militares de otros países que participaron en la guerra y en la etapa posterior.

¿y si no fuera un timo?
Fuente imagen: Seemikdraw.com.au

Otra variante del timo nigeriano, que ha ido en aumento en los últimos años, es la de un supuesto romance por Internet. Los estafadores contactan con la víctima por páginas de citas (usando fotos falsa de personas atractivas) para tras unos primeros chats para dar credibilidad solicitan una ayuda económica (bien sean 30€ para la compra de final de mes, o bien el valor de un supuesto billete para poderse encontrar en persona). La peor posibilidad de este timo es que los estafadores convenzan a la víctima a viajar al país de su supuesto romance (generalmente países del este de Europa o africanos) donde la víctima podría ser incluso secuestrada.

Si os queréis reír un rato en Internet podrás encontrar páginas y foros donde se alguien ha seguido la cadena de correos para ver hasta dónde llegaban 🙂

Denegación de servicio contra servidores DNS

Deja un comentario

Fuente imagen: bleepingtech.com

El sistema DNS (Domain Name Service) es el que nos facilita a los humanos el uso de los servicios de Internet ya que sería casi imposible que recordásemos las direcciones IP de nuestras páginas web, sistemas de almacenamiento en la nube, portales de vídeos, etc. Así pues cualquier servicio de Internet que utilicen usuarios humanos depende, aún sin ser consciente, de este sistema de conversión de texto humano a direcciones IP.

Este sistema de nombre se creó en un momento en el que las comunicaciones eran caras y poco fiables, por lo que una de las características de este sistema es la gran permanencia de la información publicada. Esto hace que un ataque que busque una denegación de servicio contra DNS de un servicio concreto a base de eliminar su información registrada en el sistema deba ser continúo y durar más de 24 o 48 horas. La dificultad de mantener durante tanto tiempo estos ataques ha hecho que no sean prácticos para conseguir evitar que un servicio esté disponible para todos sus clientes. Por este motivo este tipo de ataques se suelen utilizar cuando queremos que un objetivo concreto no tenga conexión al exterior: anulando los servidores DNS a los que consulta una persona podemos hacer que, en la práctica, pierda su conexión a Internet (al menos para los humanos, ya que la conexión sigue estando habilitada).

En este artículo veremos algunos ataques DoS contra los propios servidores DNS y en una próxima entrada definiremos las protecciones y defensas básicas para anular, si es posible, estos ataques. Ademas hay una familia de ataques espejo en el que utilizando peticiones malformadas podemos conseguir que los propios servidores DNS dejen fuera de servicio una tercera víctima, pero estos ya merecen otro artículo.

Peticiones múltiples de dominios inexistentes

Se trata del tipo de ataque más básico que consiste simplemente en enviar solicitudes de información sobre dominios no existentes. Al recibir la petición el servidor consultará con sus servidores de referencia gastando recursos en el proceso (memoria, ciclos de CPU, ancho de banda…). El hecho de utilizar nombre de dominio inexistentes es porque, a diferencia de un dominio existente, al no obtener una respuesta afirmativa en la primera petición a su servidor de referencia realizará otra a un segundo servidor, y luego otra tercera, hasta agotar todos los servidores de referencia que ha aprendido previamente. Esto hace que una única consulta de un dominio no existente implique un mayor consumo de recursos que varias legítimas.

Si se hace de forma rápida es posible llenar la caché del servidor DNS víctima con dominios no existentes (NXDOMAIN) haciendo que cualquier petición legítima tenga un procesamiento más lento aún y acelerando la denegación de servicio a los clientes válidos de este servidor.

Ataque de dominios fantasma

Para este esquema el atacante crea un dominio real con un servidor DNS real especialmente configurado para responder de forma incorrecta: ya sea muy lentamente o con información parcial. Así cuando el atacante realiza consultas DNS a la víctima se asegura que las peticiones de información llegan a un equipo que él controla.

¿Qué pasa cuando un equipo responde, por TCP, de forma lenta? Pues que el receptor debe esperar, reservando recursos para ello, hasta que la transmisión finalice. ¿Qué pasa cuando un servidor envía la información de forma desordenada? Pues que el receptor debe esperar a recibir los diferentes paquetes para reordenarlos y obtener la información, lo cual implica reserva de recursos. ¿Y si el servidor pide retransmisiones de paquetes? Pues lo mismo: más reserva de recursos para almacenar información.

Realizando múltiples peticiones al servidor DNS víctima para que resuelva información contra el servidor DNS que nosotros controlamos podemos hacer que se quede sin recursos y provocar una denegación de servicio a todos los clientes que consultan a ese servidor.

Ataque basado en subdominios aleatorios

Ejemplo de ataque por subdominio. Fuente imagen: Incapsula

Este tipo de ataque es una evolución de los dos anteriores. La idea es solicitar una gran cantidad de subdominios inexistentes de un dominio concreto. Aunque es posible realizarlo contra un dominio inexistente (cosa que puede ser interesante para intentar burlar defensas contra el ataque anteriormente explicado) generalmente se realiza contra nombres de dominio existentes, ya sean controlados por el atacante (con lo que sería una evolución del ataque al dominio fantasma) o bien contra páginas conocidas que tengan gran capacidad de respuesta (de forma que se sature antes nuestro servidor víctima) como pudiera ser Google, Microsoft, Amazon, etc.

Aunque no es imprescindible, en la práctica, debido a las defensas de los propios servidores es necesario realizar este tipo de ataque desde una botnet. Cada miembro de una botnet, de forma coordinada, solicita la resolución de un subdominio aleatorio (asjdhaskd.yahho.com, jhsgdhafasd.microsoft.com, 8ajsdalNDBY.apache.org ,etc.) que no existirá forzando al servidor a reservar recursos para su infructuosa resolución.

Whaling

1 respuesta

Fuente imagen: condiesit.co.uk

En seguridad informática se denomina whaling a las técnicas de phishing dirigidas contra objetivos de alta importancia dentro de una organización (altos directivos de empresa, políticos, etc.) o simplemente de gran transcendencia social (cantantes, artistas, famosos, etc.).

El término whaling es un juego de palabras entre whale, ballena, y phishing. En el mundo de los casinos se denomina «ballena» a aquellos jugadores de altas apuestas a los que se les da un tratamiento y servicios especiales. También es común denominar como big-fish a una persona importante dentro de una organización por lo que el nombre de whale también se ajusta a esta costumbre.

Como se trata de un ataque muy dirigido a una persona en concreto, o a un grupo muy reducido (consejeros de una empresa o similar), es un ataque que precisa de una fase de recopilación de información meticulosa. Los correos electrónicos, las páginas webs falseadas o la ingeniería social para apoyar la estrategia de phishing deben ser específicamente creadas y diseñadas para estos objetivos concretos. Se trata pues de ataques que implican una gran carga de trabajo pero que pueden obtener una recompensa muy elevada.

Cabe indicar que estas técnicas de whaling son difíciles de detectar por parte de los servicios de seguridad informática corporativos debido a que su especificidad hace que el volumen de transmisiones sea muy bajo, comparándolo con otros ataques phishing.

Ejemplos de whaling

Las definiciones teóricas están muy bien, ¿pero de verdad es un riesgo? Pues sí. Parece que los ataques de whaling están en aumento. Si bien son ataques de ingeniería social muy elaborados y que requieren de una buena documentación previa pueden obtener grandes beneficios con relativo poco riesgo. Veamos un par de ejemplos:

En febrero de 2015 unos estafadores consiguieron, mediante un ataque de whaling, que un alto ejecutivo de una empresa de compra/venta de materias primas enviase 17 millones de dólares a un banco chino.
En enero de 2016 una empresa de componentes aeronáuticos confirmó la pérdida de 50 millones de euros mediante un ataque de phishing específicamente dirigido.

Defensas ante ataques whaling

Como se ha indicado anteriormente este tipo de ataques suelen pasar desapercibidos ante los sistemas de detección automáticos ya que se tratan de comunicaciones, generalmente correos electrónicos, muy precisas y de poco volumen por lo que no suelen saltar las alarmas.

En estos casos la mejor defensa es una buena concienciación de todos los trabajadores, sean del rango que sean, que tengan capacidad de realizar movimientos de dinero importantes. Es importante que ante cualquier petición fuera de lo común se confirme con la persona que supuestamente la realizado: así cualquier empleado debe consultar a su superior ante una petición extraña que supuestamente envía el director general y alguien en la cadena de mando debería contactar con dicho alto cargo para confirmar que realmente ha realizado esa petición y no estamos ante un caso de whaling. De igual forma los consejeros o directores generales deben entender que los procedimientos de una empresa deben ser seguidos para maximizar la seguridad.

Wardriving

Deja un comentario

Concepto Wardriving. Fuente imagen:Flylib.com

Se denomina Wardriving a la búsqueda y recolección de información sobre redes Wi-Fi realizada desde un coche en movimiento. Seamos claros: la idea es pasearse por una zona que nos interesa con un portátil, o cualquier otro equipo con capacidad de conectarse a una red Wi-Fi, de manera que guardemos toda la información de las redes Wi-Fi que nos encontremos (SSID, protocolos de cifrado, direcciones MAC de los routers, ubicación GPS etc.) por el camino.

Hay que tener en cuenta que la mayoría de routers ADSL instalados por los operadores de telecomunicaciones en España vienen con una red Wi-Fi configurada por defecto que, hasta hace no demasiado, permitía el cálculo automático de la contraseña de acceso. Así pues, un usuario podría utilizar la información recogida para intentar, a posteriori, obtener las claves de acceso a las redes inalámbricas y utilizar así esas redes cuando lo considerase conveniente con las intenciones que fueran.*

Esta técnica puede utilizarse como parte de la fase de recolección de información de un ataque posterior. El hecho de detectar diferentes redes Wi-Fi puede dar información sobre la existencia, o no, de infraestructura de control de redes inalámbricas, la existencia de líneas ADSL independientes que puedan favorecer una infección remota, etc.

Ejemplo de equipo para wardriving. Fuente imagen: Wigle.net

¡Pero no sólo los malos usan el concepto de wardriving! Resulta que si quieres que tu empresa disponga de un certificado PCI-DSS hay que cumplir muchos requisitos y uno de ellos, el 11.2 ( «Test for the presence of wireless access points and detect unauthorized wireless access points») obliga a los administradores de red a pasearse por la empresa en busca de redes Wi-Fi desconocidas que puedan suponer una puerta de salida de información privada. Efectivamente. Habréis visto en algunas películas que alguien detecta un pincho USB que emite por Wi-Fi la información que el malo malísimo necesita… y resulta que sí, que los administradores de red buscan estos puntos Wi-Fi dentro de sus instalaciones.

* Como anécdota personal puedo decir que cuando tuve un familiar ingresado durante bastante tiempo utilicé esta técnica (aunque caminando y no en coche) para encontrar una red Wi-Fi con la que conectarme a Internet. Aunque ya nos hemos acostumbrado a la conectividad móvil 4G no hace tanto que las conexiones eran muuuuy lentas y caras 😉

Securizando

Información sobre seguridad informática