La seguridad en línea es un tema que nunca pierde relevancia, especialmente en el ámbito de las criptomonedas, donde la innovación y el valor atraen tanto a inversores como a ciberdelincuentes. Con el auge de las monedas digitales, las técnicas empleadas para comprometer la seguridad financiera de los usuarios se han vuelto más sofisticadas.
Una de las últimas amenazas emergentes es un kit de phishing diseñado específicamente para apuntar a los entusiastas de las criptomonedas, utilizando una combinación poco convencional pero efectiva de SMS y llamadas de voz. Este método representa un cambio significativo respecto a las tácticas tradicionales, marcando una evolución alarmante en el panorama del phishing.
Se ha descubierto un avanzado kit de phishing que imita las páginas de acceso de populares servicios de criptomonedas, apuntando principalmente a dispositivos móviles como parte de una serie de ataques meticulosamente orquestados.
"Este kit posibilita a los criminales replicar con exactitud las páginas de Single Sign-On (SSO) y emplear una estrategia mixta de correo electrónico, SMS y llamadas fraudulentas para persuadir a las víctimas de revelar sus credenciales, enlaces para restablecer contraseñas e incluso identificaciones oficiales, afectando a cientos, mayormente en Estados Unidos", informó una firma de seguridad en su análisis.
Entre los objetivos de este kit de phishing se encuentran trabajadores de la Comisión Federal de Comunicaciones (FCC), así como usuarios de reconocidas plataformas de criptomonedas como Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown y Trezor, registrándose más de 100 casos de phishing exitosos hasta la fecha.
Las páginas fraudulentas están configuradas para mostrar la falsa pantalla de inicio de sesión únicamente después de que el usuario supera un CAPTCHA mediante hCaptcha, lo que dificulta que los sistemas automatizados detecten estas páginas como maliciosas.
Conoce más sobre: Takedown: La Defensa crucial contra el Phishing
En ciertas ocasiones, estas páginas se han propagado a través de llamadas y mensajes de texto no solicitados, fingiendo ser parte del servicio al cliente de alguna entidad, bajo el pretexto de asegurar la cuenta del usuario tras un supuesto incidente de seguridad.
Tras introducir sus datos, a las víctimas se les solicita un código de autenticación de dos factores (2FA) o se les pide "esperar" mientras se verifica la información proporcionada. "Los atacantes, probablemente, intentan acceder con estas credenciales de forma inmediata, redirigiendo a la víctima según la información adicional que el servicio de autenticación multifactor (MFA) requiera", explicó la compañía.
El kit está diseñado para añadir un toque de verosimilitud permitiendo al operador ajustar la página de phishing en tiempo real con detalles como los últimos dígitos del teléfono de la víctima y decidir si solicitar un código de 6 o 7 dígitos.
Posteriormente, el ciberdelincuente captura el código de acceso de un solo uso (OTP) proporcionado por el usuario y lo utiliza para acceder al servicio deseado. A continuación, puede redirigir a la víctima hacia cualquier sitio de su elección, incluyendo la auténtica página de acceso de Okta o una que muestre mensajes personalizados. La firma de seguridad ha destacado que esta campaña muestra patrones similares a los de Scattered Spider, especialmente en su falsificación de Okta y el empleo de dominios previamente asociados con este grupo delictivo.
Te podrá interesar leer: ¿Cómo actuar ante códigos de inicio no solicitados?
"Aunque las URL y las páginas imitadas podrían recordar a las producidas por Scattered Spider, este kit de phishing presenta capacidades y una infraestructura de comando y control (C2) notablemente distintas", indicó la empresa. Esta práctica de emulación es habitual entre colectivos de cibercriminales, especialmente cuando ciertas estrategias y métodos han demostrado ser efectivos a nivel público.
Todavía no se ha determinado si detrás de estos actos se encuentra un único ciberdelincuente o si se trata de una herramienta compartida por varios grupos.
"Lo que realmente ha potenciado el éxito de estos ciberdelincuentes en el robo de información valiosa es la combinación de URLs de phishing convincentes, páginas de acceso que imitan a la perfección a las auténticas, la creación de un sentido de urgencia y el uso coherente de SMS y llamadas telefónicas", agregó la compañía.
Este hallazgo se da a conocer justo cuando Fortra informó que las entidades financieras en Canadá están siendo atacadas por un nuevo servicio de phishing como servicio (PaaS) denominado LabHost, el cual se prevé que gane más popularidad que su competidor Frappo en 2023.
Los ataques de LabHost se organizan a través de una herramienta de gestión de campañas en tiempo real llamada LabRat, que facilita la ejecución de ataques de intermediario (AiTM) y la captura de credenciales y códigos 2FA.
Además, el grupo ha desarrollado LabSend, una herramienta de envío de spam por SMS que automatiza el proceso de enviar enlaces a páginas de phishing de LabHost, posibilitando a sus usuarios lanzar campañas de smishing a gran escala.
"LabHost ofrece a los cibercriminales la capacidad de dirigirse a diversas entidades financieras con una serie de recursos que incluyen plantillas prediseñadas, herramientas de gestión de campañas en tiempo real y trampas por SMS", explicó la compañía.
Conoce más sobre: El Peligroso Mundo del Smishing: Conoce sobre esta Amenaza
Educación y Concienciación: La primera línea de defensa es educar a los usuarios sobre las tácticas de phishing, incluyendo las variantes de SMS y voz. Conocer el modus operandi de estos ataques puede preparar a las personas para identificar señales de alerta.
Verificación Independiente: Antes de responder a cualquier solicitud de información personal, verifica la autenticidad del mensaje contactando directamente a la entidad mediante canales oficiales.
Utilizar Autenticación de Dos Factores (2FA): La 2FA añade una capa adicional de seguridad, asegurando que incluso si la información de inicio de sesión es comprometida, los atacantes no puedan acceder fácilmente a las cuentas sin el segundo factor.
Implementación de Soluciones de Seguridad: Las organizaciones deben implementar soluciones de seguridad avanzadas, incluyendo sistemas de filtrado de SMS y análisis de voz, para detectar y bloquear comunicaciones fraudulentas.
Políticas de Seguridad Claras: Tanto las empresas como los individuos deben establecer políticas claras sobre cómo y cuándo se solicitará información personal, reforzando la importancia de no compartir datos sensibles a través de canales no seguros.
La aparición del kit de phishing que utiliza SMS y llamadas de voz marca un avance significativo en las estrategias de engaño cibernético. La mezcla de técnicas tradicionales con métodos más directos y personales presenta un desafío notable para la seguridad cibernética. Sin embargo, a través de la educación, la precaución y la implementación de prácticas de seguridad robustas, tanto individuos como organizaciones pueden fortalecer sus defensas contra estas tácticas de phishing evolucionadas. La batalla contra el ciberdelito es continua, pero con vigilancia y conocimiento, podemos protegernos contra las amenazas emergentes en el horizonte digital.