La multinacional tecnolĆ³gica Cisco Systems Inc. develĆ³ una campaƱa de suplantaciĆ³n de identidad de portales web responsable de haber robado mĆ”s de $50 millones de dĆ³lares en 3 aƱos.
Habiendo emprendido una investigaciĆ³n junto con la PolicĆa CibernĆ©tica de Ucrania, Talos, el equipo de inteligencia de Cisco, detectĆ³ que el grupo COINHOARDER, basado en Ucrania, colocaba anuncios y direcciones web fraudulentas de blockchain.infoĀ -reconocido portal que ofrece carteras de Bitcoin y exploradores de blockchain– en anuncios de Google que generaron las visitas de 200.000 clientes.
El rastreo de la campaƱa de fraude tomĆ³ cerca de 6 meses, afirma Cisco, asegurando que el esquema de la campaƱa fue bastante simple, pues los atacantes solo necesitaban comprar constantemente los servicios de Google AdWords, aunque Ā«demuestra cuĆ”n lucrativos pueden ser estos ataques maliciosos para los cibercriminalesĀ». AsĆ, advierten que los fondos robados pueden ser destinados a financiar otras actividades criminales.
Desde el mes de septiembre hasta diciembre de 2017 se robaron 10 millones de dĆ³lares con este mĆ©todo, asegurando que solo en un perĆodo de 3 semanas se hicieron con $2 millones, por lo que Cisco ya comenzĆ³ a seƱalar y denunciar los dominios fraudulentos. TambiĆ©n por medio de DNS logrĆ³ hallar y bloquear otros dominios creados por COINHOARDER. La lista estĆ” disponible en el informe presentado por el caso. AdemĆ”s, exponen la cartera BitcoinĀ 19yAR4yvGcKV3SXUQhKnhi43m4bCUhSPc, la cuĆ”l ha recibido cerca de $1,9 millones de dĆ³lares. Esta direcciĆ³n ha sido mencionada en publicaciones de Reddit en dos ocasiones.
Fue a travĆ©s del servicio publicitario de Google que los atacantes hicieron espacio para exponer dominios como www.blockchien.info y www.block-clain.info, que junto con el posicionamiento SEO y de palabras claves aparecĆan a los usuarios cuando estos realizaban bĆŗsquedas relacionadas a Bitcoin. AsĆ rastrearon los dominios fraudulentos ligados al mismo creador:
SegĆŗn, los portales web fraudulentos aparentaban ser el verdadero blockchain.info, imitando el diseƱo grĆ”fico e interfaz de la pĆ”gina para pescar a usuarios incautos. El dominio web variaba ligeramente del autĆ©ntico, cambiando letras por otras, restando o agregando para asemejarse a la original. Cisco hace referencia a los ataques homĆ³grafos, los cuĆ”les consisten en incluir un carĆ”cter o sĆmbolo internacional que se parezca a un carĆ”cter en inglĆ©s en el nombre del dominio, como letras acentuadas tipo: blockchaĆn.com.
Los investigadores aseguran que COINHOARDER comenzaron a utilizar certificados SSL falsos (Secure Socket Layer), protocolo de inserciĆ³n y envĆo encriptado de informaciĆ³n sensible, para apropiarse de las contraseƱas e informaciĆ³n personal de sus usuarios.
AdemĆ”s, el portal fraudulento dirigĆa sus ataques a zonas geogrĆ”ficas con economĆas inestables y donde el inglĆ©s no es el idioma oficial, tomando oportunidad del desconocimiento del idioma y menores condiciones de desarrollo para perpetrar el fraude. Cuando los usuarios ingresaban al sitio fraudulento, este presentaba la informaciĆ³n en la lengua local segĆŗn la direcciĆ³n IP de la vĆctima. AsĆ, Talos utilizĆ³ la herramienta Umbrella Client Requester Distribution determinando que muchas de las visitas de estos sitios fraudulentos provenĆan de paĆses como Gana, Nigeria, Estonia y otros.
Estos atacantes parecen apostar a ubicar pĆ”ginas de phishing al alcance de potenciales vĆctimas en paĆses de Ćfrica y otras naciones en desarrollo, donde la bancarizaciĆ³n es menor y las monedas locales son inestables comparadas con la criptomonedas. Adicionalmente, los atacantes han notado que apuntar a usuarios en paĆses donde la primera lengua no sea inglĆ©s los hace objetivos mĆ”s fĆ”ciles. Basados en la cantidad de solicitudes, esta campaƱa es una de las mĆ”s grandes en apuntar a Blockchain.info hasta la fecha. Blockchain.info ha sido proactiva en brindar soporte a sus usuarios. Kristov Atlas, ingeniero de seguridad y privacidad de Blockchain.info asegurĆ³ que Ā«el phishing es una de nuestra principales Ć”reas de protecciĆ³n al usuario.
Talos
InvestigaciĆ³n
En su informe, la unidad de cibercrĆmenes de la PolicĆa de Ucrania, explica que una vez que el usuario abre el sitio, el atacante redirige la solicitud del usuario al blockchain.info original, tomando los datos de autorelleno para iniciar sesiĆ³n. Luego, una vez que el usuario ingresa a su cartera o crea uno nuevo, reemplaza esa ventana por la falsificada. A continuaciĆ³n, el atacante logra interceptar las claves pĆŗblicas y privadas de monedero, enviĆ”ndolas entre servidores sin que la doble verificaciĆ³n del usuario pueda servir de algo para protegerle.
La policĆa atribuye la reducciĆ³n de estas actividades durante 2018 a las nuevas reglas implementadas por Google Adwords, asĆ como a la labor de foros y sitios especializados para denunciar fraudes por Internet.
Cisco concluye que durante 2017 atestiguaron nuevas tĆ©cnicas de los cibercriminales yĀ phishersĀ para perpetrar sus delitos, creando nuevos vectores de ataque que han resultado exitosos. En el caso de Google Adwords, seƱalan, ha sido lucrativo atacar a vĆctimas alrededor del mundo con las tĆ©cnicas ya descritas, por lo que esperan ofrecer nuevas soluciones de desarrollo con el prĆ³ximo certificado de criptografĆa que emitirĆ”n a finales de este mes.
5