Buenas,
Describen en Websense una modalidad de ataque phishing que desde luego, no es la modalidad tradicional. Está basada en el envío fraudulento de correo en nombre de entidades financieras.
En este caso, la captura de datos se realiza mediante un cuestionario de satisfacción. El cebo consiste en ofrecer 100 dólares americanos a los que rellenen la encuesta. Según la información de Websense, el ataque estaba alojado en EEUU, y no está ya activo. Estaba dirigido a la clientela del First Credit Northern Union, una entidad tipo credit union, sin ánimo de lucro, ubicada también en EEUU, concretamente en Illinois, y pretendía un robo de credenciales primario, ya que para recibir el premio, había que indicar la cuenta de abono. Otros datos como teléfono, correo y nombre del titular eran sustraídos.
Riesgos que le veo a esta modalidad:
a) Se basa en un método que suele funcionar. Las encuestas de satisfacción remuneradas, bien en metálico, bien obteniendo a cambio un regalo, funcionan bastante bien. Pensemos en los formularios que hemos rellenado con nuestros datos sólo para que nos regalen algo.
b) El método huye de la chapucería del phishing tradicional, y no se presenta como la clásica amenaza «deme usted sus claves de operación». Induce a una peligrosa sensación de inocuidad, que genera confianza en las víctimas potenciales.
Aunque las entidades españolas no han sido objeto de este ataque, prudencia ante lo que nos llegue al correo. Estos modelos son exportables y segmentables por países con tan sólo traducir la idea original.
No me cansaré de decir que no se puede ni debe hacer caso al correo no solicitado.
Hola Sergio,
Sería interesante una entrada en el blog dedicada al robo de identidades basados en aplicaciones deliberadamente descargadas por el usuario… Da la impresión de que cada vez hay más versiones FAKE de aplicaciones genuinas; y tambien.. aplicaciones free /shareware con funcionalidades ocultas indeseadas:
G-Archiver (*), Registry Cleaner 2008, CSI (versiones «fake» en el propio http://www.download.com (**), no el genuino de Prevx), Trendmicro (versiones fake), etc
(*) ¿Ataque real o «Accidente no intencionado» ?
http://www.kriptopolis.org/shareware-roba-passwords-gmail
http://www.codinghorror.com/blog/archives/001072.html
(**)
http://www.prevx.com/blog/77/Prevx-and-Trend-Micro-targeted-by-spammers.html
http://www.virustotal.com/es/analisis/6da37087bc4427f3fc16cf2c9042a8ed
Por cierto, este último me lo descargué en marzo; pillé el link en la caché del Google… y lo bajó desde algun mirror del propio download.com !! Mirad la tasa de detección de virustotal.com (marzo 2008), de un ejecutable de noviembre de 2007.
Listas blancas ya !
Hola Sergio
Como siempre interesante artículo, me he permitido copiarlo en un foro de seguridad al que pertenezco al considerarlo de interés general.
Otra, en el penúltimo párrafo me parece que hubieras cometido un pequeño error, acaso no es mejor: «Aunque las entidades españolas NO han sido objeto de ester ataque, prudencia ante lo que nos llegue al correo.»
Saludos
Tendencias 2008?: «Más ataques contra aquellos… que nos defienden».
http://www.networkworld.com/news/2008/031408-trend-micro-hit-by-massive.html?t51hb&nlhtnsm=mr_031708&nladname=031708networksystemsmanagemental
(Trend Micro hit by massive Web hack)
Me parece que ya estaba «avisado». No hay sorpresas (tengo que revisar mis referencias)
Camelot,
Gracias por advertir la errata. Solucionado.
Gracias !!!
jcbarreto,
Ví la noticia en su momento, pero no he comentado nada al respecto. Es un ataque masivo, pero con algunos matices que lo hacen algo «controlado». No obstante, es un caso digno de estudio ;)
Saludos a los dos,