Búsqueda de Temas

viernes, 15 de febrero de 2008

Scammers de bancos son novatos en pishing

Hace poco publicaba un artículo de cómo los scammers estaban siendo (ellos mismos) víctimas de pishers, ahora vemos que esto se ha vuelto bastante común ya que (según informa The Register) muchos de los usuarios que intentar engañar a otros usando scam para robar información de cuentas bancarias son víctimas ellos mismos de robo de datos mientras realizan este proceso, según revela un investigador de seguridad.


Los pishers, que intentan engañar a los usuarios bancarios haciéndoles tipear los detalles de sus cuentas en sitios webs falsos, usan herramientas en el proceso que han sido construidas con "agujeros de seguridad" por otros para accesar a datos de muchos de éstos (scammers novatos) que no cuentan con la habilidad necesaria para detectarlos, de acuerdo con el investigador de seguridad Nitesh Dhanjan.

Dhanjan estará la próxima semana en la conferencia de seguridad de Black Hats a realizarse en Washington, donde demostrará los resultados de sus investigaciones, fruto de la inmersión hecha en el mundo de los pishers junto a su colega Billy Rios.

Dhanjani afirma que la mayoría de los pishers están muy lejos de usar técnicas sofisticadas, ya que la mayoría solo modifica pequeños códigos de pishing que vienen en paquetes (kits) y que no requieren habilidad alguna para ser operados.

"Lo que vemos (en estos kits) son en realidad sitios pishing listos para ser usados", dice. "Todo lo que se ha hecho hasta ahora es básicamente lo que puedes hacer usando un navegador web sin necesidad de cruzar la línea de lo que se llama Hacking".

Dhanjani dijo que es extremadamente sencillo encontrar detalles que han sido robados horas antes. "Luego de 15 minutos de empezada la investigación, se comienza a rastrear en cuentas bancarias y tarjetas de crédito y números PIN ATM (cajeros automáticos), los cuales han sido publicados internacionalmente."

Pero los autores de los kits de pishing están usando a estos pishers novatos para que hagan el trabajo por ellos. Dhanjani dijo que cuando él y Rios revisaron los códigos de computadora que contenían esos kits, encontraron que tenían dos diferentes instrucciones de comando al sistema para que envíe un email detallando datos de las víctimas.

"Hemos encontrado un segundo comando de email que tiene una dirección email fuertemente codificada a la cual también va la información de la víctima", indica Dhanjani. "Así, cuando el pisher haga uso de este kit, la información de la víctima junto con la de él mismo son enviadas al autor de este kit, asi que aqui tenemos a un pisher que ha sido víctima de otro pisher".

Gartner ha estimado que el pishing scam significa un costo que asciendió a 3.2 billones de dólares el 2007, y hay costos aún más importantes que la pérdida de dinero, porque a menudo es muy difícil (y una pérdida de tiempo) para los usuarios demostrar que no son responsables de los gastos hechos a su nombre.

Dhanjani dijo que no es tan fácil solucionar este problema, al menos hasta que los bancos y los gobiernos tengan sistemas más sofisticados que una simple tarjeta de crédito o números de identidad gubernamentales, caso contrario el problema continuará.

También dijo, que el costo que resulta el cambiar estos sistemas es mucho más grande que las pérdidas de dinero que han sido reportadas, por lo cual no se espera un cambio tan pronto.

Vía: The Register

Contáctame