Ekoparty es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica.

Permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, reunirse y disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.

27, 28 y 29 de septiembre, Centro Cultural Konex, Buenos Aires, Argentina.

6 mar. 2017

Cómo funciona un súper Kit de Phishing

Súper Kit de Phishing. Así me presentó mi colega este descubrimiento de los investigadores de Proofpoint, y la denominación no estaba para nada lejos de la realidad. Estamos frente a una herramienta para administrar campañas de Phishing realmente sofisticadas, la cual analizaremos desde dos puntos de vista diferentes. En primer lugar, veremos a qué se enfrenta una persona cuando es víctima de un Phishing lanzado con esta herramienta. En segundo lugar, veremos la herramienta en sí, desde el punto de vista del delincuente.

Que esta herramienta pueda estar a disposición de cualquier delincuente que desee utilizarla, es peor aún. Si a esto se suma que la herramienta sea de fácil uso, brinde resultados de calidad y apunte a una capa que el software y hardware de seguridad no protegen, quizá el lector sienta un impulso de cerrar la pestaña en que abrió este post y seguir tranquilo con su día sin sumar una nueva preocupación a su vida.

Esta herramienta en particular está orientada a usuarios de PayPal, y llevará a la víctima a la siguiente pantalla de login, luego de haber conseguido que haga clic en el enlace de un correo de Phishing. Hasta aquí no vemos nada nuevo. Salvo cuando se intentan ingresar unas credenciales inválidas de PayPal en dicha pantalla.
Desde el servidor se nos responde que nuestras credenciales son inválidas. ¡WTF!

Las trampas de phishing suelen aceptar cualquier dato que las personas ingresen, pero esta va más allá: Verifica que el email (no así la contraseña) corresponda a una cuenta legítima utilizando un servicio de Paypal, el cual permite comprar una tarjeta de regalo para un usuario.

Con esto, el Kit de Phishing logra reducir el número de credenciales inválidas recolectadas por su campaña de phishing, a la vez que le da mayor credibilidad a su falsa página de Login.

Y esto recién comienza.

Contenido completo en fuente original Smartfense

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!