Phishing kits, ataques segmentados y negocios en auge

El phishing, como bien sabemos, es un negocio en continuo auge. Las clave del éxito de este tipo de delito telemáticos está, como hemos comentado en repetidas ocasiones en “una-al-día”, en la rentabilidad de los ataques.

Mientras sea posible generar ingresos mediante phishing, esta forma de fraude estará presente. Actualmente, el phishing probablemente esté en la cresta de la ola, con una presencia cada vez más notoria de estos elementos de ataque en nuestro día a día. La incorporación de más usuarios y proveedores a los canales electrónicos es un caldo de cultivo donde se dan cita además, la continua aparición de vulnerabilidades y malware que hacen que el phishing sea un negocio fácilmente desplegable.

Otras claves para comprender el espectacular auge del problema, redundando nuevamente en la rentabilidad, están en el empleo de técnicas de análisis por parte de los ejecutores que pretenden que la efectividad de los ataques sea mayor. Es lo que definimos como phishing segmentado, técnicas que pretenden personalizar al máximo los ataques escogiendo los segmentos poblacionales más propensos, a priori, a caer en la trampa. Es frecuente hallar ataques orientados a clientes específicos de entidad específicas, con perfiles demográficos muy seleccionados y donde hay estudios previos al lanzamiento de los ataques, con el fin de ajustar el modelo de fraude a las debilidades del público objetivo. Con esto no sólo se consigue sigilo, al ser mucho menores los impactos, sino que al ser impactos de más calidad se maximizan beneficios.

Adicionalmente, otra rama de actividad está en el comercio y distribución de los kits de phishing, motivo principal de este pequeño artículo. Datos recientes demuestran que las ventas de este tipo de material están alcanzando cotas máximas, lo cual tiene su lógica: si el phishing es rentable, ¿por qué no “franquiciar” el modelo? ¿por qué no comprar un kit y explotar el filón?

¿Qué es un kit de phishing? Un kit de phishing es ni más ni menos que un conjunto de herramientas y documentación para que una persona con escasas nociones técnicas pueda montar un ataque phishing en cuestión de minutos. Si pensamos en el mecanismo de un sistema de phishing tradicional, los elementos que podría contener un kit serían las plantillas de los correos fraudulentos a enviar, listados de correo para los envíos y plantillas web para colgar en un servidor la página de acceso falsificada. Los kits suelen facilitar no sólo espacio web para colocar los formularios falsos, sino completas instrucciones para modificar las plantillas y para recibir la información sustraída. En algunos casos es habitual encontrar documentación técnica sobre cómo blanquear el capital sustraído, y cómo reclutar mulas para que operen con los datos capturados. No menos frecuente es que los kits incluyan plantillas de spam específicas para reclutar a las mulas, ofreciendo a cambio suculentos ingresos bajo la vitola de “trabaje en casa”.

Y todo esto por precios módicos, que muchas veces no superan los 200 euros. Según estudios como los de Websense Security Labs, hay un kit especialmente popular, llamado “Rock Phish Kit”. Este kit se caracteriza por tener plantillas para importantes sitios de banca y comercio electrónico, como Alliance & Leicester, Barclays, Citibank, Deutsche Bank, eBay y Halifax. Además, el kit proporciona servicios “de valor añadido” a los atacantes. Es un claro ejemplo de que el phishing se está enfocando muy claramente como una actividad empresarial, indeseable y fraudulenta, pero con todos los ingredientes de una actividad como otra cualquiera que pretenda maximizar cuotas de mercado e ingresos. Esto es un claro indicativo de que el fraude telemático es un problema de una escala muy importante, y que está siendo conducido por personal cualificado, con conocimientos que van mucho más allá que el técnico y con una clara vocación de generar ingresos.

Los sitios dispuestos con “Rock Phish Kit” se caracterizan por el empleo de direcciones IP y nombres de dominio fraudulento, por la presencia de la secuencia /rock/ o /r/ en la URL y un código alfanumérico que identifica a la entidad cuya identidad se suplanta. Así pues, una URL del tipo http://www.rockphishtest.com/rock/a/ contendrá habitualmente un phishing contra Alliance & Leicester. La secuencia /b/ es para Barclays, y así para todas las plantillas tipo. El kit proporciona además scripts PHP para la captura de datos, hospedaje en sitios asiáticos y código javascript para adulterar las barras del navegador e impedir, por ejemplo, la posibilidad de copiar y pegar mediante teclado. El comprador del kit, por tanto, tiene muy fácil montar su propio ataque con una herramienta como la descrita.

El phishing es un problema muy grave. No sólo por los ataques segmentados, no sólo por los negocios colaterales como los kits de phishing, el empleo de mulas y las redes de blanqueo. El phishing está especializándose y los ataques son cada vez más elaborados. Prueba de la ejecución técnica refinada de un ataque es el caso de Mountain America, una conocida entidad norteamericana. No menos interesante es la prueba de concepto que habilitamos tiempo atrás en Hispasec Sistemas, donde se conseguía, mediante Cross-Site Scripting, generar un ataque phishing con la URL y el certificado legítimo de un banco. Existen indicios notorios de colaboración en las redes de fraude que van mucho más allá de la segregación de funciones: diversos estudios apuntan a que, con la puesta en circulación de kits, no sólo se genera ingreso por la venta, sino que además, hay grupos que dan soporte a los atacantes primerizos, los cuales reciben nociones y apoyo a cambio de la compartición de beneficios.

La investigación para frenar la actividad es frenética. Comprender las técnicas y plantear mecanismos proactivos y reactivos ante este tipo de amenazas es una carrera que parece no tener fin. Cuando se controlan el grueso de las amenazas, aparecen variantes que hacen que haya que replantearse todo el modelo. No sólo desde el punto de vista que tenemos en Hispasec como empresa dedicada a la investigación del fraude y el despliegue de servicios antifraude, sino desde todas las ópticas: la jurídica, la policial, la que tienen las entidades que sufren los ataques, la óptica del usuario, la de los grupos de lucha contra el fraude, la de los proveedores de servicios, etc. Con la desventaja de que la flexibilidad y la capacidad de adaptación a este entorno turbulento de los grupos de crimen organizado es generalmente superior a la del grueso de participantes del canal.

Y eso no es una buena noticia, por desgracia.