La multinacional tecnológica Cisco Systems Inc. develó una campaña de suplantación de identidad de portales web responsable de haber robado más de $50 millones de dólares en 3 años.
Habiendo emprendido una investigación junto con la Policía Cibernética de Ucrania, Talos, el equipo de inteligencia de Cisco, detectó que el grupo COINHOARDER, basado en Ucrania, colocaba anuncios y direcciones web fraudulentas de blockchain.info -reconocido portal que ofrece carteras de Bitcoin y exploradores de blockchain– en anuncios de Google que generaron las visitas de 200.000 clientes.
El rastreo de la campaña de fraude tomó cerca de 6 meses, afirma Cisco, asegurando que el esquema de la campaña fue bastante simple, pues los atacantes solo necesitaban comprar constantemente los servicios de Google AdWords, aunque «demuestra cuán lucrativos pueden ser estos ataques maliciosos para los cibercriminales». Así, advierten que los fondos robados pueden ser destinados a financiar otras actividades criminales.
Desde el mes de septiembre hasta diciembre de 2017 se robaron 10 millones de dólares con este método, asegurando que solo en un período de 3 semanas se hicieron con $2 millones, por lo que Cisco ya comenzó a señalar y denunciar los dominios fraudulentos. También por medio de DNS logró hallar y bloquear otros dominios creados por COINHOARDER. La lista está disponible en el informe presentado por el caso. Además, exponen la cartera Bitcoin 19yAR4yvGcKV3SXUQhKnhi43m4bCUhSPc, la cuál ha recibido cerca de $1,9 millones de dólares. Esta dirección ha sido mencionada en publicaciones de Reddit en dos ocasiones.
Fue a través del servicio publicitario de Google que los atacantes hicieron espacio para exponer dominios como www.blockchien.info y www.block-clain.info, que junto con el posicionamiento SEO y de palabras claves aparecían a los usuarios cuando estos realizaban búsquedas relacionadas a Bitcoin. Así rastrearon los dominios fraudulentos ligados al mismo creador:
Según, los portales web fraudulentos aparentaban ser el verdadero blockchain.info, imitando el diseño gráfico e interfaz de la página para pescar a usuarios incautos. El dominio web variaba ligeramente del auténtico, cambiando letras por otras, restando o agregando para asemejarse a la original. Cisco hace referencia a los ataques homógrafos, los cuáles consisten en incluir un carácter o símbolo internacional que se parezca a un carácter en inglés en el nombre del dominio, como letras acentuadas tipo: blockchaín.com.
Los investigadores aseguran que COINHOARDER comenzaron a utilizar certificados SSL falsos (Secure Socket Layer), protocolo de inserción y envío encriptado de información sensible, para apropiarse de las contraseñas e información personal de sus usuarios.
Además, el portal fraudulento dirigía sus ataques a zonas geográficas con economías inestables y donde el inglés no es el idioma oficial, tomando oportunidad del desconocimiento del idioma y menores condiciones de desarrollo para perpetrar el fraude. Cuando los usuarios ingresaban al sitio fraudulento, este presentaba la información en la lengua local según la dirección IP de la víctima. Así, Talos utilizó la herramienta Umbrella Client Requester Distribution determinando que muchas de las visitas de estos sitios fraudulentos provenían de países como Gana, Nigeria, Estonia y otros.
Estos atacantes parecen apostar a ubicar páginas de phishing al alcance de potenciales víctimas en países de África y otras naciones en desarrollo, donde la bancarización es menor y las monedas locales son inestables comparadas con la criptomonedas. Adicionalmente, los atacantes han notado que apuntar a usuarios en países donde la primera lengua no sea inglés los hace objetivos más fáciles. Basados en la cantidad de solicitudes, esta campaña es una de las más grandes en apuntar a Blockchain.info hasta la fecha. Blockchain.info ha sido proactiva en brindar soporte a sus usuarios. Kristov Atlas, ingeniero de seguridad y privacidad de Blockchain.info aseguró que «el phishing es una de nuestra principales áreas de protección al usuario.
Talos
Investigación
En su informe, la unidad de cibercrímenes de la Policía de Ucrania, explica que una vez que el usuario abre el sitio, el atacante redirige la solicitud del usuario al blockchain.info original, tomando los datos de autorelleno para iniciar sesión. Luego, una vez que el usuario ingresa a su cartera o crea uno nuevo, reemplaza esa ventana por la falsificada. A continuación, el atacante logra interceptar las claves públicas y privadas de monedero, enviándolas entre servidores sin que la doble verificación del usuario pueda servir de algo para protegerle.
La policía atribuye la reducción de estas actividades durante 2018 a las nuevas reglas implementadas por Google Adwords, así como a la labor de foros y sitios especializados para denunciar fraudes por Internet.
Cisco concluye que durante 2017 atestiguaron nuevas técnicas de los cibercriminales y phishers para perpetrar sus delitos, creando nuevos vectores de ataque que han resultado exitosos. En el caso de Google Adwords, señalan, ha sido lucrativo atacar a víctimas alrededor del mundo con las técnicas ya descritas, por lo que esperan ofrecer nuevas soluciones de desarrollo con el próximo certificado de criptografía que emitirán a finales de este mes.
