Hola a todos,
En numerosas ocasiones, cuando nos referimos a la cadena crimen organizado, delitos tecnológicos y prevención de blanqueo de capitales, hablamos de spam. A mí el spam me preocupa bastante, porque tengo la sensación de que por cultura y por longevidad de esta amenaza, el spam se ha quedado infravalorado, identificándose únicamente con la molestia de recibir basura en el correo. La escasa cobertura que dan los medios al spam ha contribuído a que la gente, en general, entienda que el spam es sólo cuestión de borrar mensajes no deseados de la bandeja de entrada, y nada más lejos de la realidad.
El spam es una herramienta muy utilizada para muchas actividades delictivas. Una de ellas es dar a conocer a los usuarios la existencia de determinados comercios online, que realmente son tapaderas cuya única finalidad es acabar recuperando nuestros datos para seguir la cadena delictiva. En otras ocasiones, las tiendas online de este tipo se emplean para lavar dinero procedente de otras actividades ilegítimas. En este ejemplo real que vamos a documentar, se emplea una tienda no legítima con la finalidad de sustraer los datos operativos de tarjeta de crédito del usuario.
Estos datos de tarjetas posteriormente se suelen emplear para blanquear capitales, y es que en contra de lo que podamos imaginar, los autores de estos montajes no son usuarios particulares que correrán a darse un capricho con nuestra tarjeta recién robada. Hablamos de crimen organizado, y los datos sustraídos se utilizarán para muchas cosas: para efectuar compras y blanquear capital, generalmente procedente de asuntos turbios como la extorsión, el terrorismo o el robo de credenciales, por citar algunos ejemplos, o bien para ser incorporadas a bases de datos operadas por siniestros personajes, que algún día decidirán darle un uso ajeno al deseable.
El correo gancho
Los correos gancho son muy variables. Los correos elaborados y bonitos son efectivos en términos de marketing, pero lastran demasiado a los servidores de envío de spam y dan demasiadas pistas a los mecanismos antispam. Además, los autores de estas estafas conocen bien que por muy malo que sea el correo gancho, más de uno acabará picando. Es normal que se simultaneen envíos elaborados (spam de calidad) con spam poco elaborado (de análisis) para así poder determinar:
a) Ratios de eficiencia en la entrega de correo en función del tipo de mensaje emitido
b) Técnicas para que los servidores antispam no corten los mensajes entrantes y lleguen a las víctimas potenciales
c) Ratios de conversión (relación entre spam enviado y credenciales sustraídas)
d) Cadenas mail basura – mail impacto, en las que se purgan bases de datos para ser sometidas después a envíos personalizados y segmentados con alta probabilidad de impacto.
Este ejemplo que véis es lo que podemos denominar spam poco elaborado, y huelga explicar los motivos. No obstante, es efectivo, ya que no lo ha cortado el servidor antispam, con lo que el primer objetivo está cumplido. Obviamente, la calidad como gancho es más que discutible, aunque os puedo asegurar que el público receptor de spam tiene tantos y tan variados comportamientos que no se puede dar por sentado de entrada que nadie visitará el enlace que aparece emborronado.
De todos modos, este mensaje es aparentemente la antesala a un spam de calidad que no incluirá los destinatarios filtrados que se eliminen en el proceso de depuración del spam (mensajes rechazados, correos no contestados). Y además de ayudar a filtrar, el mensaje es en sí una trampa que está accesible a gente curiosa o interesada que los convierte en víctimas potenciales.
La tienda online
La verdad es que los sitios de venta online fraudulentos están mejorando mucho en términos de calidad.
Los ganchos que se emplean habitualmente, además de un cuidado aspecto gráfico, son la falsa sensación de tienda normal, ya que está montada en HTTPS, con su «candadito» y toda la parafernalia, sección de contacto, mapa de web, carrito de la compra etc. Y como colofón, encima contiene grandes ofertas irresistibles para el usuario:
La (presunta) compra
Una vez hemos seleccionado lo que queremos comprar, pasamos por caja. Como no podía ser de otro modo, el clásico formulario:
El formulario tiene un comportamiento curioso. La primera vez que introducimos datos, aparece una pantalla del tipo «su transacción no ha podido ser completada», reinténtelo de nuevo en 20 minutos empleando otra tarjeta de crédito. Es notorio que, al menos en este caso, hay controles de validación preestablecidos, como longitud de la PAM de la tarjeta y longitud del CVV, pero sin embargo, en un evento de transacción fallida, no se detalla que hemos introducido datos erróneos. Simple y llanamente, hay un error.
A partir de aquí, no importa lo que pogamos en el formulario, siempre dirá que la tarjeta introducida es inválida (sin pasar por pasarela de verificación alguna). El objetivo es que el usuario crea que su tarjeta no funciona, e introduzca datos de otra tarjeta. Cuantas más mejor.
Muchos usuarios pensarán que la tienda no funciona. Apagarán el ordenador, se acostarán o se irán a dar una vuelta, y probarán mañana. Es muy probable que cuando vuelvan a usar su tarjeta, haya cargos ya efectuados por parte de los atacantes, y si la tarjeta tiene límites elevados, a buen seguro nos habrán hecho un pequeño agujero. También es probable que no notes movimiento alguno, y que tus datos pasen a una base de datos de los atacantes, que un buen día necesitarán blanquear dinero, y harán compras con tu tarjeta. Sea como fuere, cada vez que has pulsado el botón «enviar» del formulario, una petición HTTP POST ha llevado por correo (mailer en PHP en este caso) tus datos a los malos de la película.
Ni que decir tiene que atrás quedan comprobaciones como que el dominio de la tienda fue registrado hace dos días (qué rápido habilitan un negocio, eh), que la presunta pasarela de pago es sólo un script montado en HTTPS y que no hay más contenidos en ese otro dominio (también registrado recientemente) y que los datos de contacto son falsos. Lo previsible.
Las tarjetas robadas y el blanqueo de capitales
Tal y como comentábamos, la intención de robar números de tarjeta no es otra que blanquear capitales. En este tipo de comercios online podemos tener dos vertientes principales de funcionamiento:
a) Tiendas fraudulentas, como la mostrada, en la que se pretende recoger información financiera de usuarios para ser usada posteriormente en actividades de blanqueo.
b) Tiendas con productos muy rebajados, donde se ofrece realmente software muy rebajado, y donde finalmente se produce una compraventa. En este caso el software adquirido ha sido comprado previamente por los atacantes, empleando tarjetas o credenciales bancarias robadas. El objetivo en este caso es blanquear el capital procedente de otras actividades ilícitas, transformando el robo primario de credenciales en actividades de compraventa, más difícilmente trazables. El gancho para inducir a las compras muy rebajadas suele ser «compre que no pasa nada», lo cual no es cierto, ya que en muchas jurisdicciones adquirir productos robados siendo conscientes de que lo son es ilegal. España, y corríjanme los letrados, es uno de esos países. Esto tiene nombre y apellidos en el Código Penal: delito de receptación.
En estas tiendas suele haber una dualidad: yo pago con mi tarjeta un paquete de software que ha sido comprado con medios de pago robados, y por otro lado, la página recoge mis datos bancarios para usarlos en blanqueos posteriores. ¿O pensabas que ellos se iban a limitar sólo a venderte el software?
Mucho cuidado siempre con las ofertas y con este tipo de actividades. Recelar siempre de los chollos en la red es siempre garantía de éxito.
Tate, justo hace unos minutos he recibido un correo de ¿Paypal? muy sospechoso. Con mis datos personales, pero yo siempre procuro no marcar casillas para evitar que me atosiguen con tonterías. Nunca hasta ahora había recibido una oferta de ellos, lo que me mosquea.
Y sabedor de tu artículo a propósito de San Valentín, como para no ir con pies de plomo. Lo reproduzco por si acaso, prefiero pecar de paranoia.
Por cierto, excelente anotación!
==================================================================
PayPal
==================================================================
Estimado(a) *****************************:
Nos complace presentarles nuestras increíbles ofertas para regalar
en año por San Valentín. Los mejores regalos para él y para ella
en un solo clic y sin salir de casa.
Pague con PayPal y comience a disfrutar ya de nuestras ideas
que enamoran
Flores, viajes, ropa, informática, perfumes, videojuegos, regalos
personalizados…
http://email1.paypal.es/*************
Aproveche estas grandes ofertas hoy mismo.
Atentamente,
PayPal
__________________________________________________________________
Este correo electrónico se ha enviado a *************** porque
ha marcado en sus preferencias de correo electrónico que desea
recibir boletines de noticias periódicos y novedades de producto.
Para eliminar esta subscripción y dejar de recibirlos, por favor
pulse Modificar preferencias.
http://email1.paypal.es/*****************
PayPal (Europe) S.à r.l. et Cie, S.C.A.
Société en Commandite par Actions
Sede sociale: 22-24 Boulevard Royal, L-2449 Luxembourg
RCS Luxembourg B 118 349
Bueno, tras actualizar las reseñas nauscópicas, entro en mi cuenta Paypal. Verifico que no tengo tarjeta asignada, y el saldo está a cero, como ha de ser (cuando he de hacer una operación asigno una tarjeta de débito, que quito una vez se ha realizado, paranoico que es uno).
Leo:
Pues parece auténtico, pero yo diría que no autoticé a que me enviasen ofertas de compra. Miro en su política de privacidad, y dicen que pueden enviar encuestas pero no leo (lectura en diagonal) que me puedan vender nada. Hummm…
Renviaré el correo a la cuenta de más arriba a ver qué dicen y lo replicaré aquí.
Voy a contestar el correo desde el webmail y me pide que acepte un certificado de http://www.paypal-promo.es !!! Me niego, evidentemente.
Huele muuu mal.
Reenvío el correo a correos_falsos#paypal.es
Si es falso ¿cómo han conseguido mi nombre? Mira que lo oculto, y más en esa cuenta. Alguna empresa que me ha vendido un objeto/servicio ha tenido alguna fuga, digo.
Si alguien puede aclarar algo mientras esperamos la respuesta…
maty,
He recibido ese mismo correo que citas. Parece, a todas luces y por lo que he podido ver, un correo legítimo, y es una accion comercial para San Valentín orquestada por Paypal y alguno de sus socios, como BuyVip y compañía.
La fea costumbre de PayPal de emplear el correo para actividades de este tipo siempre siembra dudas :)
Insisto que por lo que he podido ver, es legítimo.
Saludos,
Eso parece, pero no creo haberlo autorizado. Busqué a ver si se ve una casilla para desmarcar que me atosiguen con publicidad no deseada.
Debía ser la hora, que uno ya no está en plenitud de facultades, pero en su respuesta (05:12) me dicen cómo:
Pues eso, prefiero pecar de paranoia… a dar las cosas por supuesto. Con el dinero no se juega!!!
Ya he hecho las oportunas modificaciones, entre ellas la muy recomendable de recibir el correo en modo texto.
paypal-perfil-notificaciones.png
Efectivamente, estos emails de PayPal con motivo de San Valentin son… legítimos. Entre otras razones, porque la cuenta que yo particularmente tengo con PayPal es ininteligible (tipo [email protected]) que solo conocen: GMAIL y PAYPAL (y punto).
En esa cuenta no me llega SPAM ni otros correos, porque sencillamente es secreta, por «política personal de seguridad» (de usuario precavido que soy yo, no de PayPal :-) )
La política de seguridad de PayPal (permitiendo esta publicidad) es discutible como en otros casos; porque se presta para el phishing y mucho se puede hablar sobre ello. Pero Sergio ya lo ha realizado en varias ocasiones.
[Está claro que el usuario medio está «estadísticamente vendido»]
Sobre el blanqueo de dinero, pues efectivamente, es así. Es toda una «cadena alimenticia» en este ecosistema del fraude llamado Internet. El scam (ofertas de trabajo falsas), el spam (ofertas de software rebajado), spam exploratorio / pentest de sistemas antispam, etc, etc al final lo que más persiquen es eso, obtener y mover dinero / blanquear, fuera de la ley.
Lo curioso, es que sistemas de Logos como Verisign Certified Site o similares -LEGITIMOS- (no recuerdo el nombre exacto) … son un reclamo ó gancho que pueden usar tambien «los malos de la película»,poneindo su imagen JPG y URL (ilegítima o legítima de algun sitio web, es indiferente) que engañará al usuario.
En fin, qué verde estamos [estadísticamente]. Está claro que hay sistemas que sí cubren en alto porcentaje la necesisdad de seguridad, pero no son ampliamente utilizados (como lo de «Línea Electrónica» de CCM, sino recuerdo mal el nombre, mencionado en otro post de este maravilloso BLOG :-) ).
Enhorabuena de nuevo Sergio, muy buen artículo.
Heey there just wanted to give you a quick heads
up. Thee txt in your content seem to be running off the screen in Chrome.
I’m not sure if this is a format issue or something too do with web browser compatibility but I
thought I’d post to let yyou know. The style and design look great though!
Hope you get the problem resolved soon. Cheers
Have you ever considered publishing an ebook or gest authoring on other websites?
I have a blog based on the saame subjects you discuss and would really like to have yoou
share some stories/information. I know my viewers would
appreciate yoiur work. If you’re even remotely interested, feel free to
send mme an e mail.