Phishing

Phishing: los ciberdelincuentes no descansan

En el Día Internacional del Internet Seguro no podíamos dejar de mencionar una de las prácticas más utilizadas por los ciberdelincuentes. Son innumerables las campañas de Phishing que salen a luz a diario. El Módulo 6 de C1b3rWall Academy viene cargado de interesantes conferencias como la que nos comparte Nuria Prieto, Analista de seguridad en el CERT de la Universidad Carlos III de Madrid. Su ponencia titulada “Los #malosmalotes no descansan” tiene como objetivo ilustrar algunas de las campañas de phishing de los últimos años.

El phishing es el principal vector de entrada, ya que los humanos no nos podemos parchear. Hay que pensar que están dentro y estar siempre en guardia.

Si vamos a analizar URLs de phishing es importante saber qué estamos haciendo. Es recomendable hacerlo en máquinas virtuales (u ordenador viejo), entornos protegidos, nunca utilizar nuestro proveedor de servicio como salida, etc. La mejor manera de ocultarnos es usar la red TOR y nunca está de más una VPN.

Analizando campañas de phishing

Multanopagada y saludcastillayleons  fueron algunas de las URLs analizadas, (Multanopagada) recibida el 14 de marzo del 2021. Lo preocupante es que eran dominios españoles, y para registrar un dominio en España tienes que dar tu NIF. El sitio de donde te descargabas el malware también era español. Se comunicó a los organismos correspondientes.

A 5 de abril seguían los dominios en línea. Los atacantes no eran muy cuidadosos ya que no camuflaban ni la URL. Utilizaban máquinas, o compradas (VPS) o de Azure (gratuitas). La URL venía codificada en base 64, en la que suelen incluir tu dirección de correo. Si queremos acceder a ella, la decodificamos, vemos la información, la modificamos y la volvemos a codificar. Nunca lo hagas libremente ya que van nuestros datos.

Paypal

Otra campaña fue una copia muy buena de Paypal en la que nos decían que había un problema con nuestra cuenta y nos pedían tarjeta de crédito, dirección, teléfono y hasta foto del DNI. Estos datos que recogen se utilizan para futuras campañas. En esta, afortunadamente el FBI lo estaba investigando.

FarmaUtils

Distribuía ficheros de malware en busca de datos vulnerables, como nuestro historial médico o número de la Seguridad Social. El dominio estaba registrado en sedoparking. Esto significa que los atacantes muestran interés en algunos dominios que van cogiendo buena fama y reputación, y si alguna vez quedan libres, al haber mostrado interés, sedoparking se lo notifica. Adquieren el dominio y lo utilizan para otros fines.

Tal como anuncia Nuria, los ciberdelincuentes no descansan, además para cometer sus fechorías requieren poca inversión y esfuerzo mínimos. Aunque son difíciles de perseguir, con conocimientos y acciones oportunas se lo podemos hacer más complicado.

Estas son algunas de las campañas más sonadas, podéis ver otros casos en la conferencia de Nuria, os comparto el enlace. Podéis leer el artículo completo en News 365.

Profile Image

Juan Manuel Corchado

Catedrático, Área de Ciencias de la Computación e Inteligencia Artificial, Departamento de Informática y Automática de la Universidad de Salamanca.

Contenidos

Noixion.TVWDiarium.com – e4YOU – Másteres – CyberCamp

Únete a otros 257 suscriptores

Descubre más desde Juan M. Corchado

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo