[HACK] Simulan ser el BBVA para robar numeros de tarjetas
merce at grn.es
merce at grn.es
Thu May 15 16:34:01 CEST 2003
19:27 10/05/03
SIMULAN SER EL BBVA PARA ROBAR NÚMEROS DE TARJETAS, USANDO UN VIEJO
TRUCO DE INGENIERÍA SOCIAL
Mercè Molist
La semana pasada, un número indeterminado de personas recibía un
correo electrónico no solicitado donde se les instaba a rellenar el
formulario de una página web, para ser clientes del servicio BBVAnet.
Datos personales, número de tarjeta de crédito, fecha de caducidad e
incluso el PIN iban a parar a la base de datos de los atacantes, cuya
identidad se desconoce. Es la primera vez que este truco de ingeniería
social se utiliza contra una entidad bancaria española.
El Banco Bilbao Vizcaya Argentaria actuó con celeridad y, a las 24
horas, la web fraudulenta y el sitio donde se recogían los datos
estaban fuera de línea. La web mostraba el logo de BBVAnet y parecía
oficial, aunque sorprendía la cantidad de datos que pedía. El mensaje
no solicitado también levantaba suspicacias: empezaba con un "estimado
cliente del BBVA", aunque lo recibieron no clientes, y seguía: "Le
comunicamos que próximamente, usted no (sic) se podrá subscribir en
Banca Online". Una errata, a juzgar por el contenido, que instaba a
suscribirse a BBVAnet, mediante un formulario en
http://gruposbbva.nstemp.com.
La web estaba registrada en Estados Unidos, en la empresa
Freeservers.com, que rápidamente la cerró. Según un experto
consultado, "estaba todo hecho de forma profesional y con dedicación,
ya que el código de la página que suplanta al BBVA está ofuscado. En
vez de escribir el código HTML directo, está cifrado vía JavaScript y
la construcción del formulario se hace en el navegador del usuario.
Así, pueden saltarse los sistemas de filtrado de contenido y hace que
el rastreo sea relativamente complicado".
El origen del mensaje es igualmente oscuro: "Se ha enviado desde una
conexión ADSL, pero viendo el nivel de complejidad de la página HTML,
apostaría que se ha secuestrado una máquina con poca seguridad, para
lanzar los mensajes. Me costaría mucho creer que se haya molestado
tanto en ofuscar el código HTML y después utilizar para el envío una
máquina fácilmente identificable y rastreable, que no disponía de
ninguna medida de seguridad, ni las más básicas, permitiendo
conexiones anónimas y remotas vía Internet a las unidades de disco
compartidas", afirma el experto.
El banco desconoce cuántos datos se obtuvieron ni si se han realizado
operaciones con ellos. Aunque esta técnica de ingeniería social es
conocida en los manuales, es la primera vez que se conoce su
aplicación masiva suplantando a una entidad financiera española. Algo
parecido sucedía a principios de mayo en Gran Bretaña, según publicaba
"eWeek": "Se están enviando mensajes fraudulentos a los clientes de
First Union, donde se les pide que visiten una web e introduzcan sus
nombres de usuario y contraseñas. Sólo mirar la web ya trae problemas,
porque instala automáticamente un troyano en la máquina del visitante.
No está claro cómo el atacante ha tenido acceso a las direcciones de
correo de los clientes del banco".
La Ingeniería Social es el arte de hacer que otros hagan o digan lo
que uno quiere, abusando de su confianza, inocencia o ganas de caer
bien. El diccionario "Jargon File" habla de "técnicas que se
aprovechan de las debilidades de las personas, con el objetivo de
conseguir sus contraseñas u otra información. Un truco clásico es
telefonear a la víctima diciendo que eres un técnico con un problema
urgente". La Ingeniería Social usa desde hace tiempo las herramientas
de la red, igual que el teléfono o el contacto directo.
Uno de los trucos más comunes en el chat ha sido engañar a alguien
para obtener sus datos de acceso a Internet y usarlos gratuitamente.
La misma intención tienen el mensaje o la llamada de un presunto
técnico del proveedor, que pide los datos de conexión para una
comprovación rutinaria o porque se han perdido. "El método más fácil
para conocer la contraseña de alguien es preguntándoselo", dicen los
expertos. Recientemente, se hacía la prueba, patrocinada por
InfoSecurity Europe 2003, en una estación central de Londres: nueve de
cada diez oficinistas aceptaron revelar sus contraseñas a cambio de un
bolígrafo.
En su "Curso de Ingeniería Social", LeStEr ThE TeAcHeR explica cómo
recopilar datos financieros: "Un caso que requiere una especial
atención es la simulación de mails que provienen de servicios de banca
por Internet. Como todo, son sencillamente suplantables. Basta con
crear un mail en HTML utilizando las imágenes y los formatos de alguna
de estas entidades, pero enviándolo desde cualquier otra cuenta.
Conozco casos en los que un usuario recibe un mail que parece provenir
de un banco conocido y que luego lo redirige a un formulario falso, en
el que se le hace escribir su contraseña de acceso y ésta es guardada
en una tabla, o enviada por mail a una dirección donde luego se
utiliza de forma fraudulenta. A continuación, dicho usuario es enviado
a la página real del banco, tras haber recibido una pantalla de
error".
Kevin Mitnick da cuenta también de este tipo de engaño en su libro
"The art of deception", con un ejemplo real y muy parecido al fraude
del BBVA: "Un día del verano de 2001, Edgar recibió un mensaje de
PayPal, una compañía que permite hacer pagos rápidos por Internet y
que Edgar usaba para hacer compras en eBay: "Apreciado cliente; Paypal
quiere darle 5 dólares de crédito. Sólo tiene que ir a la página
http://www.paypal-secure.com/cgi-bin y actualizar su información".
Pero éste no fue el primer engaño bajo el nombre de PayPal. En enero
del 2000, la compañía publicaba un aviso después que un correo masivo
invitase a sus clientes a conectarse a www.paypai.com y dejar sus
datos: "Hay muchos artistas del fraude que os enviarán correo
pretendiendo ser vendedores o sitios con los que habéis tenido
negocios en el pasado. No sólo Pay Pal, también EBay, AOL y otras
compañías. Usualmente os darán una dirección web duplicada, con la
dirección ligeramente diferente de la auténtica, y os pedirán que
reveléis los datos de vuestras tarjetas de crédito, nombres de usuario
o contraseñas".
En marzo del 2002, le tocaba el turno a Visa, con un un mensaje que
cruzó el mundo: "Alerta de fraude. Visa USA Fraud Control ha sabido de
la existencia de un engaño para obtener datos personales de nuestros
clientes. Lamentamos comunicarle que hemos cancelado su tarjeta de
crédito, de acuerdo con el artículo 205 del capítulo 210 del
departamento de fraude internacional. Sospechamos que su tarjeta está
implicada en actividades criminales. En los próximos dos días uno de
nuestros investigadores contactará con usted por teléfono para
verificar sus datos".
Aunque, como dice Mitnick, "¿por qué dedicarse a robar los números de
tarjetas uno por uno, cuando puedes entrar en la mayoría de compañías
de comercio electrónico y coger todas sus bases de datos?".
E-Mail Hoax Targets First Union Customers
http://www.eweek.com/article2/0,3959,1068224,00.asp
Office workers give away passwords for a cheap pen
http://www.theregister.co.uk/content/55/30324.html
Fraude de PayPal
http://hoaxinfo.com/paypal.htm
Fraude de AOL
http://hoaxinfo.com/aolscam.htm
Fraude de Visa
http://hoaxinfo.com/creditfraud.htm
CIAC scam chains
http://hoaxbusters.ciac.org/HBScams.shtml#corruption
Curso de Ingeniería Social
http://lestertheteacher.cjb.net/
Breves conceptos sobre la Ingeniería Social
http://virusattack.xnetwork.com.ar/articulos/VerArticulo.php3?idarticulo=4
Ingeniería social
http://www.iec.csic.es/criptonomicon/articulos/expertos72.html
Nociones de ingeniería social
http://www6.gratisweb.com/disidents/ascii/ezine/nocionesis.html
SANS. Social Engineering. What is it?
http://rr.sans.org/social/social.php
Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.
More information about the hacking
mailing list