¿آیا پیام های ایمیل مجدد برای ایمیل شما وجود دارد؟ اطلاعات بیشتر از 8،000 Millones de identidades.


Translating…

Este tipo de estafa ha sido una de las recurrentes durante los últimos meses. Mucha gente se ha puesto en contacto conmigo preguntándome por cómo actuar con este tipo de mensajes de correo electrónico, así que os lo dejo en un artículo. ¿Lo has recibido tú? ¿o un familiar? Se ha puesto muy de moda y ha conseguido que mucha gente se asuste, e incluso muchos paguen. La razón es bastante sencilla, en ese correo electrónico estaba la contraseña y en muchos casos era la contraseña de verdad.

Figura 1: ¿Has recibido un e-mail que dice que tienen tu contraseña? Pues probablemente la tengan.

De este tipo de mensajes he visto tres tipos diferentes, unos más antiguos, otros más modernos y que utilizan técnicas similares. Os los explico para que los conozcáis, y si os habéis encontrado con alguno diferente y lo ponéis en los comentarios, genial.

1.- Info Leaks para hacer extorsiones

Lo que sucede es que se basa en hacer uso de los leaks de identidades que se hacen públicos en Internet, y automatizar el envío de mensajes de e-mail para llegar a más gente posible, asustar a todos los que sea posible y conseguir el dinero que algunos pagan – no muchos, la verdad -.

Uno de los primeros ejemplos de este tipo de técnicas se vio en la

filtración de datos de Ashley Madison

, donde los clientes de esta red social para tener aventuras sexuales extra-matrimoniales se vieron expuestos. Todos ellos se vieron afectados, e

incluso alguno llegó al suicidio

. La técnica era sencilla, automatizar el envío de mensajes a las víctimas amenazándoles con una extorsión futura en sus redes sociales y pedir dinero. Ojo, que esta filtración de datos también fue utilizada por empresas de seguridad para ofrecer servicios de protección.

2.- Sextorsión basada en malware

Ya hemos hablado muchas veces de las sextorsiones. Se basan en grabar a la gente con la webcam de la computadora mientras está viendo pornografía o en una sesión se sexting. Ya he hablado muchas veces del

malware tipo R.A.T. (Remote Administration Tool) que se usan para grabar a las personas con la cámara del equipo propio

, y de las grabaciones que se hacen de personas “

gancho

” para hacer

sexting en sitios como ChatRoulette

o similares.

Figura 3: Personas extorsionadas por sexting

Pues bien, bajo esta idea, y con todo el ruido mediático que se levantó, apareció otra oleada de estafadores que lo que hacían era enviar masivamente a todo el mundo – un

SPAM

masivo en toda regla – diciéndole que le habían grabado viendo pornografía con un

R.A.T.

Como las probabilidades de dar con alguien que haya visto pornografía parece que son altas, el negocio es hacer el

SPAM

y recibir el dinero en la cuenta de BitCoins.

Figura 4: La chulería es grande, y el final… “visit only secure sites”. Priceless

Este tipo de mensajes podía ser real. Se ha detectado

malware que se activa en muchas páginas de sitios de contenido adulto pornográfico para grabar a las personas y hacer sextorsiones

. Mi recomendación es que tengas un buen

antimalware

, mucho cuidado dónde navegas, y que tapes la

webcam

. Es decir, el e-mal de la

Figura 4

se basa en todo lo anterior para aprovecharse del miedo popular a estas cosas. Todo el mundo ha oido historias de sextorsión, así que si se recibe ese mensaje y no se tiene mucho conocimiento… a lo mejor se paga.

3.-  La extorsión de tengo tu password

El funcionamiento es bastante sencillo. Supongamos que se pone a la venta, o disponible en la

DeepWeb – merece la pena el libro de Daniel

para que conozcas bien cómo funciona este mundo -, o simplemente disponible para todos en mil rincones de

Internet

, una nueva base de datos de un servicio de

Internet

, o de una empresa que ha sido hackeada, o de una filtración hecha por un insider.

Si en esa base de datos hay cuentas que están identificadas por direcciones de correo electrónico públicas, algo muy normal, se puede asumir que esa persona ha podido repetir la contraseña, así que los

cibercriminales

se inventan un mensaje de correo electrónico muy sencillo que envían a dirección de e-mail que se ha filtrado, informándole de que la contraseña se la han

hackeado

– y se la escriben – exigiendo un pago en un cuenta de alguna

criptomoneda

, normalmente

BitCoin

, que para las personas se ha convertido en una cosa que les suena y más o menos entienden.

Esto se puso muy de moda el año pasado

.

Figura 6: Tienen tu password… y va en el e-mail

Si da la casualidad de que esta contraseña es la correcta de muchos servicios, y la persona se asusta de verdad, puede que haga el pago, ya que no son cantidades excesivamente grandes. De esta manera, un grupo de cibercriminales puede automatizar una filtración y sacar réditos con las personas que se asusten y repitan la contraseña. Además, como se ve en el ejemplo, algunos amenazan con haberla usado otra vez en la grabación de escenas sexuales.

Como recomendación, tener una alerta en un sitio como

HaveIbeenPwned

que te da una alerta cuando se filtra una identidad asociada a ti, es una buena idea para que te des cuenta de lo fácil que te puedes ver expuesto hoy en día.

¿Qué hacer para evitar esto?

Como os podéis imaginar, en todos estos casos no se busca hacer el ataque finalmente, y se basa en maximizar el proceso de capturar una filtración, hacer un SPAM y recibir dinero. Fácil y rápido. Lo ideal para evitar que el ataque sea de verdad, es decir, que alguien se aproveche de una credencial tuya filtrada es seguir las recomendaciones básicas de seguridad en identidades digitales, como son:

1.- No repetir contraseñas utilizadas en servicios: Justo, justo, justo, justo esto es por que si hay una filtración en un servicio, esa contraseña no pueda ser utilizada para vulnerar otros servicios que hayan sido descubiertos – y descubrir los servicios asociados a una dirección de e-mail es algo bastante común. Nosotros lo hacemos en nuestro Dirty Business Card.

2.- No usar contraseñas basadas en patrones ni predecibles: Ya sabes. “ContraseñaDeTwitterAzul”, “ContraseñaDeXAzul” “ContraseñaDeFacebookAzul”, “ContraseñaDeGmailAzul”. Si cae una, caen todas. Que se lo digan al gran Dan Kaminsky. Ni tampoco cosas como tu fecha de nacimiento, tu apellido, el nombre de soltera de tu madre.


Figura 9: Proteger tu cuenta Gmail & Google con Latch Cloud TOTP

4.- Gestores de contraseñas: Utiliza un gestor de contraseñas, a ser posible en local y no en cloud. A mí eso de dejar las passwords de todos mis servicios en la cloud no me parece una muy gran idea. Pero tú decides.

5.- Usar sistemas de autenticación no basados en contraseñas: Como sabéis, las contraseñas hay que erradicarlas y poner sistemas de autenticación robusta como dispositivos físicos, canales paralelos de autenticación, smartcatds, etcétera. Si el servicio lo permite, no lo desaproveches. De eso he hablado mucho, mucho, mucho por este blog, y os dejo el artículo que resume cómo debería gestionarse la Autenticación en una organización.

Y lo principal, que la gente esté informada de cómo funcionan estas técnicas ayuda pero hay que lograr que se “OCUPE” además de que se “PREOCUPE” de la gestión de sus identidades en Internet y la seguridad de sus dispositivos, que si no, de poco sirve.

Saludos Malignos!

 

Read More