domingo, 8 de mayo de 2016

Spam y la ciberdelincuencia


hackronDurante los carnavales de Tenerife, los días 5 y 6 de febrero, se celebró la tercera edición de la CON de referencia de las islas, elHackRon.
La verdad es que Igor Lukic tiene un gran poder de convocatoria, pues asistieron grandes ponentes como Luis DelgadoDavid MelendezPedro Candel o el croata Miroslav Stampar, entre otros, dando unas charlas realmente interesantes.
En el caso de Sophos, tuve el orgullo de participar con una charla que decidí hacer sobre el SPAM, aprovechando la nueva oleada de engaños con facturas falsas que aprovechan vulnerabilidades para propagar malware.
Pude aprovechar para comentar el origen del Spam, una palabra que todos usamos pero, ¿sabemos de verdad de dónde viene?. Es gracioso que todo se deba a un “gag” de los Monty Python, emitido en diciembre de 1970, en el cual, en un restaurante todos sus platos contenían Spam (una especie de chóped enlatado, popular en reino unido tras la Segunda Guerra Mundial, importado de Estados Unidos). Pues bien, en los primeros foros de Internet, había quien transcribía dicho gag… podría parecer algo “inocente”, pero en conexiones que con suerte eran de 300 bits por segundo, se podía hacer tedioso para los que recibían el texto, impidiendo ver los temas realmente importantes.
Monty-Python-Spam
A día de hoy, el spam es una de las herramientas usadas por las cibermafias para:
  1. Enviar información no deseada
  2. Propagar malware, donde encontramos:
  • Virus
  • Ramsonware
  • Estafas (también llamadas scam)
Así pues, la charla continuó por estos temas, donde es curioso saber que España fue uno de los grandes centros de I+D al respecto, aunque por allá en el S.XIX, con timos enviados, no por email, pero sí por correo ordinario. Es más, incluso algún historiador cuenta que Miguel de Cervantes ya comentó estafas similares, por lo que estaríamos hablando todavía mucho antes. Estos timos, donde el Timo del Entierro o el del Prisionero Español, se basaban en ganar la confianza del destinatario para proponerle o bien un negocio (Timo del Entierro, donde se asegura que sabemos de un tesoro enterrado pero es necesario recabar fondos para una expedición de rescate), o bien una suculenta herencia (Timo del Prisionero Español, donde una gran fortuna procedente de Cuba espera a quien ayude a la hija desvalida del pobre preso con una enfermedad terminal).
prisionero-español
Actualmente, España tiene el ¿orgullo? de, en lo que Sophos llamamos, los “Dirty Dozen”, es decir, en el top12 de los países emisores de spam.
dirty_dozen
Por cierto, si alguien se pregunta cómo en el 1870 era posible obtener información de una persona, no tiene más que comprar un volumen de “Who is Who”, una publicación que lleva desde mediados del S.XIX publicando biografías de gente que consideran de interés. Hay además versiones locales, como por ejemplo la estadounidense de “Marquis Who’s Who” done cualquiera, por el módico precio de unos 8$ puede comprar mi biografía:
who-is-who
Actualmente, los timos comentados anteriormente se siguen usando, pero han cambiado de historia/nombre… lo solemos conocer como el Timo del Nigeriano:
cartas-nigerianas
De este tipo de timos, pasamos a los phishings (de fishing, pescar y harvest, cosechar), donde la idea es “cosechar” credenciales de usuario, tarjetas de crédito… ¿quién no ha recibido un email de su banco donde le piden que les “recuerden” los detalles de su tarjeta de crédito porque los han “perdido”?.
Y ya puestos a crear un engaño al usuario, ¿por qué no enviarle ramsonware?, es decir, un tipo de malware que imposibilita el uso del equipo hasta que el usuario paga un “rescate” por él… de los iniciales WinLocker (virus de la policía) que únicamente impedían el uso al mostrar una pantalla pidiendo el rescate, se ha pasado a los CryptoLockers (virus de correos) los cuales cifran el contenido, lo que deja inutilizable los datos del usuario salvo que pueda (supuestamente pagando) obtener la clave para su descifrado. Además, con el paso de los tiempos, lo que inicialmente se hacía por agencias de envío de dinero (Western Union, por ejemplo), ahora se hace mediante BitCoins, dificultando o impidiendo trazar su destino.
En cualquier caso, ¿qué tienen en común todas estas estafas?, la Ingeniería Social… se sigue atacando al mismo “Sistema Operativo” que en el S.XIX, la mente humana, la cual no ha recibido ningún update ni parche de seguridad… habría que pedir explicaciones a su fabricante.
Para finalizar la presentación, en un evento de este estilo, no podía faltar una demo, que realicé en directo, en la cual se generaba un PDF que inyecta un ejecutable malicioso, aprovechando una vulnerabilidad del típico lector de PDF que todos tenemos instalado. En la demo, el ejecutable malicioso me abría una puerta trasera al equipo que me permitía gestionarlo a distancia, ver su webcam (siempre es espectacular), ver sus ficheros, copiarlos, elevar privilegios, subirle herramientas de “hacking” que me podrían facilitar la propagación en la empresa, etc…
Como colofón, vimos una serie de recomendaciones sobre cómo tratar de parchearnos para no caer en estos timos… y si a alguien se le ocurriese este tipo de “negocio” para vivir, recordar la cantidad de gente con penas de cárcel por esto.