Invasores de PC le cuestan u$s 415.000 a un condado de Kentucky
Ciber-criminales con base en Ucrania se robaron u$s415.000 de las arcas del condado de Bullitt, Kentucky esta semana. Los ladrones contaron con la ayuda de más de dos docenas de co-conspiradores en los EEUU, y también de na variante de un programa malicioso capaz de vencer las medidas de seguridad en linea que tienen muchos bancos.
El abogado del Condado de Bullitt Walt Sholar dijo que el problema comenzó el 22 de junio, cuando alguien comenzó a hacer transferencias no autorizadas de u$s10.000 o menos de los suelos a cuentas perteneciente a al menos 25 individuos a lo largo del país (algunos recibieron varios pagos). El 29 de Junio, el banco del condado se dio cuenta que algo andaba mal, y comenzó a pedir a los bancos que recibían esas transferencias que la empezaran a revertir, dijo Sholar.
"Nuestro banco nos dijo que para el jueves sabrían cuantas de esas transacciones podrían ser revertidas," dijo Sholar. "Nos dijeron que pensaban que tendríamos algo del dinero de vuelta, solo que no estaban seguros de cuanto."
Sholar dijo que las transferencias no autorizadas parecen haber sido facilitadas por "alguna clase de virus de computadora". Security Fix se ha estado comunicando con un investigador de crímenes informáticos que está familiarizado con el caso. Lo que sigue es una descripción del programa malicioso usado, un relato pormenorizado de como realizaron el atraco los atacantes, y entrevistas con un par de mujeres contratadas para recibir los fondos robados y transferirles el dinero a los que cometieron el fraude en Ucrania. Este caso sirve también de ejemplo de como las estafas por correo electrónico pueden ser usadas para embaucar a víctimas que desconociéndolo sirven como cómplices en sus planes.
Según mi fuente, que pidió no ser identificada porque aun está investigando diferentes lados de este caso, los criminales robaron el dinero usando una variante adaptada de un troyano con capacidad de registro de teclado conocido como "Zeus" (también conocido como "Zbot") que incluyó dos características nuevas. La primera que que las credenciales robadas son enviadas inmediatamente mediante mensajería instantánea a los atacantes. Pero la segunda, y más interesante característica de este malware, dijo el investigador, es que crea una conexión directa entre el sistema Windows infectado y los atacantes, permitiendo a los malos ingresar a la cuenta bancaria de la víctima usando la propia conexión Internet de la víctima.
Muchos bancos en linea verifican si la dirección de Internet del cliente viene de una ubicación que ya estaba asociada al nombre y contraseña del cliente, o al menos de una ubicación geográfica que sea cercana a donde vive el cliente. Conectándose mediante la PC de la víctima o su conexión Internet, los chicos malos pueden evitar levantar sospechas.
Esto podría ser suficiente para engañar a los bancos minoristas que dan servicio a usuarios comunes de banca en línea, pero el banco del Condado de Bullitt, como muchos otros bancos comerciales, usan esquemas de autenticación aún mas rigurosos. Por ejemplo, algunas tecnologías adoptadas por los sitios Web de bancos comerciales usan técnicas de programación especiales de Javascript para verificar varios aspectos del sistema del cliente -- incluyendo el tamaño de la pantalla, la versión del navegador, sistema operativo, y una gran cantidad de otras variables -- para crear una "huella digital" única de las computadoras de sus clientes. En tales casos, aún si los criminales han secuestrado la conexión Internet de la víctima, un banco que use este enfoque aún será capaz de detectar que el cliente se está conectando desde una computadora diferente porque las huellas digitales no coinciden.
Además, el proceso de crear y aprobar una transferencia desde la cuenta del condado no se puede completar sin dos usuarios diferentes autorizados para firmar la transacción. En el caso del Condado de Bullitt, esos sistemas de cheques y balances fueron diseñados para ser llevados a cabo por el tesorero del condado y un juez local.
Finalmente, si por cualquier razón el sistema del banco detecta que alguna de las dos cuentas es usada de una PC con una huella digital desconocida, el intento de ingreso fallará, y ese usuario se le pedirá verificar su cuenta de correo para una passphrase especial de única vez que deberá ser reingresada junto con el usuario y la contraseña, para poder conseguir ingresar a la cuenta.
Según el investigador, el ataque contra la cuenta bancaria del Condado de Bullitt sucedió así:
- Los atacantes lograron de alguna forma poner el Troyano Zeus en la PC del tesorero del condado, y la usaron para robar el usuario y contraseña del tesorero necesarios para acceder al correo y a la cuenta del banco del condado.
- Los atacantes ingresaron en la cuenta bancaria del condado mediante un túnel a través de la conexión del Internet del tesorero.
- Una vez dentro, los criminales cambiaron la contraseña del juez, y también la dirección de correo relacionada con la cuenta del juez, de modo que futuras notificaciones sobre passphrases de única vez fueran a una cuenta de correo controlada por los atacantes.
- Entonces crearon varios empleados ficticios del condado (estos eran los 25 personas reales, co-conspiradoras contratadas por los atacantes para recibir los fondos robados), y crearon un lote de transferencias para esos individuos para ser aprobado.
- Los delincuentes entonces ingresaron en la cuenta bancaria del condado usando las credenciales del juez y una computadora fuera del estado de Kentucky. Cuando el sistema de seguridad del banco falló en reconocer el perfil de la PC, el banco envió un correo con la passphrase de desafío a la dirección de correo controlada por los atacantes.
- Los atacantes obtienen la passphrase del correo, ingresan nuevamente con las nuevas credenciales del juez y la passphrase de única vez. Una vez que ingresaron, los delincuentes fueron capaces de aprobar el lote de transferencias.
Cuando fue consultado para comentar esta versión de los eventos, Sholar el abogado del Condado dijo que estaba limitado en lo que podía decir, porque el FBI le pidió no dar detalles de la causa. Pero dijo que "Sabemos que se iniciaron y aprobaron transferencias que fueron generadas y enviadas al banco mediante computadoras que estaban ubicadas físicamente fuera del estado de Kentucky."
El rol de las mulas de dinero - Estafadas para servir
Con la ayuda del investigador de delitos informáticos, pude logra contactar a dos de las 25 denominadas "mulas de dinero" quienes fueron contratadas para actuar como intermediarios en esta estafa. Ambas fueron mujeres de menos de 35 años que fueron contactadas después de publicar sus currículos en Careerbuilder.com. Cada una recibió correos electrónicos de una compañía que se hacía llamar Fairlove Delivery Service. Ambas mujeres acordaron hablar con Security Fix en condiciones de anonimato.
Ambas fueron contratadas por Fairlove para editar y corregir la gramática de documentos, y se les prometió una paga de u$s8 por cada kilobyte de datos que procesaran (vea el correo inicial de la estafa en Careerbuilder aqui). Los documentos para los que fueron contratadas de editar estaban llenos de errores gramaticales, equivocaciones o errores de puntuación. Ambas mulas de dinero dijeron que parecía que quien fuera que escribió las cartas no era alguien que hablara Inglés nativo.
No queda claro si los ciber-estafadores reclutaron la mulas como editores de texto para probar su confiabilidad, o porque realmente necesitaban su ayuda para lograr que sus cartas de la estafa parecieran más creíbles. Lo que queda claro de ver copias de las cartas que les pidieron corregir, es que estaban corrigiendo cartas que serían enviadas para reclutar y estafar a otras mulas. Dele un vistazo a esos mensajes por corregir enviados a nuestras mulas anónimas, visibles en este enlace.
La primer persona con la que hablé, una mujer de 34 años de Miami, ha estado editando textos que le fueron enviados por correo electrónico por representantes de Fairlove por un par de semanas. Poco después que ella preguntó cuando le iban a pagar por su trabajo, recibió un correo que le preguntaba que si estaba interesada en la posición como "agente local", para la compañía. El representante de Fairlove que la contactó por correo electrónico dijo algo respecto que como la compañía tenía a menudo problemas enviando dinero a sus clientes del extranjero tan rápido como lo necesitaban, y que necesitaban desesperadamente acelerar aquel proceso (al menos eran honestos en esa afirmación). Una descripción de la posición de agente local le fue enviada a esta mujer y está disponible aquí.
El jueves pasado, ella recibió un depósito de más de u$s9.900, con instrucciones de girarlo casi por completo excepto unos u$s500 (su 5 por ciento de comisión) vía Western Union a una cuenta de un banco en Ucrania. La mujer dijo que comenzaron a crecer sus sospechas sobre "algo que no andaba bien con todo este asunto," y solo giró u$s3.000 de ese dinero. Después que fue contactada por Security Fix acerca de la estafa, se enteró que su banco le había congelado la cuenta. Su banco le aseguró que si ella venía y mostraba que los correos electrónicos que la atraparon en una estafa, ellos podrían conseguir hacer algo.
La segunda mujer con la que hablé, una madre soltera de 27 años, también de Florida, no fue tan afortunada. Ella tuvo mas de u$S 9.700 transferidos el lunes a su cuenta desde el banco del Condado de Bullitt por los delincuentes. Ella sacó casi todo ese monto de su banco inmediatamente, girando cerca de u$s9.200 a los estafadores en Ucrania. Poco después de eso, su banco revirtió el depósito inicial de u$s9.700 a pedido del banco del Condado de Bullitt. Su banco dijo ahora que ella estaba enganchada por ese monto: el saldo de su cuenta corriente estaba en casi u$s9.000 en rojo.
He aquí algunas observaciones y consejos para que no lo estafen, sin importar lo obvio que pueda resultar:
- Evite responder ofrecimiento de trabajo recibidos por correo electrónico. Si busca trabajo en sitios como Monster.com o Careerbuilder.com, al menos esté advertido que bandas criminales también usan estos sitios para reclutar a quienes estan desesperados, incautos y a codiciosos.
- Si se involucra con una compañía que ni siquiera investigó en Google, espere lamentarse de eso: Una búsqueda sobre Fairlove Delivery Service devolvió apenas unas páginas llenas de quejas de otros que buscaban trabajo que fueron estafados por estos criminales.
- Evite seguir vínculos en correos electrónicos que no esperaba, y esté particularmente atento de cualquier correo electrónico que le advierta de terribles consecuencias a menos que usted actúe o responda inmediatamente. El malware usado para infectar las computadoras del Condado Bullitt eran parte de la enorme campaña de spam Zeus/Zbot que sucedió desde hace unas semanas hasta ahora, spam variados disfrazados de alertas sobre tarjetas de felicitación, números de seguimiento de encomiendas, y actualizaciones de seguridad de Microsoft.
- La última vez que escribí sobre mulas de dinero estafadas, algunos lectores me escribieron para decirme, en efecto: "Las mulas fueron estúpidas: debieron haber tomado TODO el dinero." Estos lectores se olvidan del punto fundamental sobre estas estafas que los chicos malos comprenden muy bien: es todo una cuestión de sincronización. El banco siempre va a reclamar el deposito. Es sólo cuestión de cuando.
- Sea extremadamente cauteloso --no, mejor huya de -- cualquier transacción en la cual la otra parte le pida convertir una transacción revocable en una irrevocable. El dinero en efectivo enviado por Western Union, Moneygram u otros servicios de envíos, son un ejemplo de transacciones irrevocables: Una vez que se hicieron, no se pueden deshacer. Por el contrario, los cheques pueden ser cancelados, y los depósitos pueden ser revertidos.
Autor: Brian Krebs
Fuente: Security Fix - The Washington Post
Traducción de Raúl Batista para Segu-Info
El abogado del Condado de Bullitt Walt Sholar dijo que el problema comenzó el 22 de junio, cuando alguien comenzó a hacer transferencias no autorizadas de u$s10.000 o menos de los suelos a cuentas perteneciente a al menos 25 individuos a lo largo del país (algunos recibieron varios pagos). El 29 de Junio, el banco del condado se dio cuenta que algo andaba mal, y comenzó a pedir a los bancos que recibían esas transferencias que la empezaran a revertir, dijo Sholar.
"Nuestro banco nos dijo que para el jueves sabrían cuantas de esas transacciones podrían ser revertidas," dijo Sholar. "Nos dijeron que pensaban que tendríamos algo del dinero de vuelta, solo que no estaban seguros de cuanto."
Sholar dijo que las transferencias no autorizadas parecen haber sido facilitadas por "alguna clase de virus de computadora". Security Fix se ha estado comunicando con un investigador de crímenes informáticos que está familiarizado con el caso. Lo que sigue es una descripción del programa malicioso usado, un relato pormenorizado de como realizaron el atraco los atacantes, y entrevistas con un par de mujeres contratadas para recibir los fondos robados y transferirles el dinero a los que cometieron el fraude en Ucrania. Este caso sirve también de ejemplo de como las estafas por correo electrónico pueden ser usadas para embaucar a víctimas que desconociéndolo sirven como cómplices en sus planes.
Según mi fuente, que pidió no ser identificada porque aun está investigando diferentes lados de este caso, los criminales robaron el dinero usando una variante adaptada de un troyano con capacidad de registro de teclado conocido como "Zeus" (también conocido como "Zbot") que incluyó dos características nuevas. La primera que que las credenciales robadas son enviadas inmediatamente mediante mensajería instantánea a los atacantes. Pero la segunda, y más interesante característica de este malware, dijo el investigador, es que crea una conexión directa entre el sistema Windows infectado y los atacantes, permitiendo a los malos ingresar a la cuenta bancaria de la víctima usando la propia conexión Internet de la víctima.
Muchos bancos en linea verifican si la dirección de Internet del cliente viene de una ubicación que ya estaba asociada al nombre y contraseña del cliente, o al menos de una ubicación geográfica que sea cercana a donde vive el cliente. Conectándose mediante la PC de la víctima o su conexión Internet, los chicos malos pueden evitar levantar sospechas.
Esto podría ser suficiente para engañar a los bancos minoristas que dan servicio a usuarios comunes de banca en línea, pero el banco del Condado de Bullitt, como muchos otros bancos comerciales, usan esquemas de autenticación aún mas rigurosos. Por ejemplo, algunas tecnologías adoptadas por los sitios Web de bancos comerciales usan técnicas de programación especiales de Javascript para verificar varios aspectos del sistema del cliente -- incluyendo el tamaño de la pantalla, la versión del navegador, sistema operativo, y una gran cantidad de otras variables -- para crear una "huella digital" única de las computadoras de sus clientes. En tales casos, aún si los criminales han secuestrado la conexión Internet de la víctima, un banco que use este enfoque aún será capaz de detectar que el cliente se está conectando desde una computadora diferente porque las huellas digitales no coinciden.
Además, el proceso de crear y aprobar una transferencia desde la cuenta del condado no se puede completar sin dos usuarios diferentes autorizados para firmar la transacción. En el caso del Condado de Bullitt, esos sistemas de cheques y balances fueron diseñados para ser llevados a cabo por el tesorero del condado y un juez local.
Finalmente, si por cualquier razón el sistema del banco detecta que alguna de las dos cuentas es usada de una PC con una huella digital desconocida, el intento de ingreso fallará, y ese usuario se le pedirá verificar su cuenta de correo para una passphrase especial de única vez que deberá ser reingresada junto con el usuario y la contraseña, para poder conseguir ingresar a la cuenta.
Según el investigador, el ataque contra la cuenta bancaria del Condado de Bullitt sucedió así:
- Los atacantes lograron de alguna forma poner el Troyano Zeus en la PC del tesorero del condado, y la usaron para robar el usuario y contraseña del tesorero necesarios para acceder al correo y a la cuenta del banco del condado.
- Los atacantes ingresaron en la cuenta bancaria del condado mediante un túnel a través de la conexión del Internet del tesorero.
- Una vez dentro, los criminales cambiaron la contraseña del juez, y también la dirección de correo relacionada con la cuenta del juez, de modo que futuras notificaciones sobre passphrases de única vez fueran a una cuenta de correo controlada por los atacantes.
- Entonces crearon varios empleados ficticios del condado (estos eran los 25 personas reales, co-conspiradoras contratadas por los atacantes para recibir los fondos robados), y crearon un lote de transferencias para esos individuos para ser aprobado.
- Los delincuentes entonces ingresaron en la cuenta bancaria del condado usando las credenciales del juez y una computadora fuera del estado de Kentucky. Cuando el sistema de seguridad del banco falló en reconocer el perfil de la PC, el banco envió un correo con la passphrase de desafío a la dirección de correo controlada por los atacantes.
- Los atacantes obtienen la passphrase del correo, ingresan nuevamente con las nuevas credenciales del juez y la passphrase de única vez. Una vez que ingresaron, los delincuentes fueron capaces de aprobar el lote de transferencias.
Cuando fue consultado para comentar esta versión de los eventos, Sholar el abogado del Condado dijo que estaba limitado en lo que podía decir, porque el FBI le pidió no dar detalles de la causa. Pero dijo que "Sabemos que se iniciaron y aprobaron transferencias que fueron generadas y enviadas al banco mediante computadoras que estaban ubicadas físicamente fuera del estado de Kentucky."
El rol de las mulas de dinero - Estafadas para servir
Con la ayuda del investigador de delitos informáticos, pude logra contactar a dos de las 25 denominadas "mulas de dinero" quienes fueron contratadas para actuar como intermediarios en esta estafa. Ambas fueron mujeres de menos de 35 años que fueron contactadas después de publicar sus currículos en Careerbuilder.com. Cada una recibió correos electrónicos de una compañía que se hacía llamar Fairlove Delivery Service. Ambas mujeres acordaron hablar con Security Fix en condiciones de anonimato.
Ambas fueron contratadas por Fairlove para editar y corregir la gramática de documentos, y se les prometió una paga de u$s8 por cada kilobyte de datos que procesaran (vea el correo inicial de la estafa en Careerbuilder aqui). Los documentos para los que fueron contratadas de editar estaban llenos de errores gramaticales, equivocaciones o errores de puntuación. Ambas mulas de dinero dijeron que parecía que quien fuera que escribió las cartas no era alguien que hablara Inglés nativo.
No queda claro si los ciber-estafadores reclutaron la mulas como editores de texto para probar su confiabilidad, o porque realmente necesitaban su ayuda para lograr que sus cartas de la estafa parecieran más creíbles. Lo que queda claro de ver copias de las cartas que les pidieron corregir, es que estaban corrigiendo cartas que serían enviadas para reclutar y estafar a otras mulas. Dele un vistazo a esos mensajes por corregir enviados a nuestras mulas anónimas, visibles en este enlace.
La primer persona con la que hablé, una mujer de 34 años de Miami, ha estado editando textos que le fueron enviados por correo electrónico por representantes de Fairlove por un par de semanas. Poco después que ella preguntó cuando le iban a pagar por su trabajo, recibió un correo que le preguntaba que si estaba interesada en la posición como "agente local", para la compañía. El representante de Fairlove que la contactó por correo electrónico dijo algo respecto que como la compañía tenía a menudo problemas enviando dinero a sus clientes del extranjero tan rápido como lo necesitaban, y que necesitaban desesperadamente acelerar aquel proceso (al menos eran honestos en esa afirmación). Una descripción de la posición de agente local le fue enviada a esta mujer y está disponible aquí.
El jueves pasado, ella recibió un depósito de más de u$s9.900, con instrucciones de girarlo casi por completo excepto unos u$s500 (su 5 por ciento de comisión) vía Western Union a una cuenta de un banco en Ucrania. La mujer dijo que comenzaron a crecer sus sospechas sobre "algo que no andaba bien con todo este asunto," y solo giró u$s3.000 de ese dinero. Después que fue contactada por Security Fix acerca de la estafa, se enteró que su banco le había congelado la cuenta. Su banco le aseguró que si ella venía y mostraba que los correos electrónicos que la atraparon en una estafa, ellos podrían conseguir hacer algo.
La segunda mujer con la que hablé, una madre soltera de 27 años, también de Florida, no fue tan afortunada. Ella tuvo mas de u$S 9.700 transferidos el lunes a su cuenta desde el banco del Condado de Bullitt por los delincuentes. Ella sacó casi todo ese monto de su banco inmediatamente, girando cerca de u$s9.200 a los estafadores en Ucrania. Poco después de eso, su banco revirtió el depósito inicial de u$s9.700 a pedido del banco del Condado de Bullitt. Su banco dijo ahora que ella estaba enganchada por ese monto: el saldo de su cuenta corriente estaba en casi u$s9.000 en rojo.
He aquí algunas observaciones y consejos para que no lo estafen, sin importar lo obvio que pueda resultar:
- Evite responder ofrecimiento de trabajo recibidos por correo electrónico. Si busca trabajo en sitios como Monster.com o Careerbuilder.com, al menos esté advertido que bandas criminales también usan estos sitios para reclutar a quienes estan desesperados, incautos y a codiciosos.
- Si se involucra con una compañía que ni siquiera investigó en Google, espere lamentarse de eso: Una búsqueda sobre Fairlove Delivery Service devolvió apenas unas páginas llenas de quejas de otros que buscaban trabajo que fueron estafados por estos criminales.
- Evite seguir vínculos en correos electrónicos que no esperaba, y esté particularmente atento de cualquier correo electrónico que le advierta de terribles consecuencias a menos que usted actúe o responda inmediatamente. El malware usado para infectar las computadoras del Condado Bullitt eran parte de la enorme campaña de spam Zeus/Zbot que sucedió desde hace unas semanas hasta ahora, spam variados disfrazados de alertas sobre tarjetas de felicitación, números de seguimiento de encomiendas, y actualizaciones de seguridad de Microsoft.
- La última vez que escribí sobre mulas de dinero estafadas, algunos lectores me escribieron para decirme, en efecto: "Las mulas fueron estúpidas: debieron haber tomado TODO el dinero." Estos lectores se olvidan del punto fundamental sobre estas estafas que los chicos malos comprenden muy bien: es todo una cuestión de sincronización. El banco siempre va a reclamar el deposito. Es sólo cuestión de cuando.
- Sea extremadamente cauteloso --no, mejor huya de -- cualquier transacción en la cual la otra parte le pida convertir una transacción revocable en una irrevocable. El dinero en efectivo enviado por Western Union, Moneygram u otros servicios de envíos, son un ejemplo de transacciones irrevocables: Una vez que se hicieron, no se pueden deshacer. Por el contrario, los cheques pueden ser cancelados, y los depósitos pueden ser revertidos.
Autor: Brian Krebs
Fuente: Security Fix - The Washington Post
Traducción de Raúl Batista para Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!