11/7/10

Trivia 15: El Scam: ¿qué es exactamente esta amenaza informática?



La aparición de novedosas técnicas de engaño y la profesionalización de los atacantes es moneda corriente en todo tipo de amenazas. La detección de nuevos ataques de Scam, y su posterior análisis, arrojan algunas preguntas: ¿qué hay de nuevo en esta materia?

¿Qué es el Scam?

Es el acto consistente en provocar, mediante un engaño, algún perjuicio patrimonial a alguien con ánimo de lucro. El medio utilizado es la tecnología. Aunque otras amenazas, como el malware o el phishing, también apuntan a objetivos económicos, en el caso del Scam el atacante obtiene dinero inmediato y lucra de forma directa con la víctima.

El Scam surgió en la década del ’90 utilizando al correo electrónico como principal método de difusión. En aquel entonces, las principales técnicas de Ingeniería Social de las que se valía eran mensajes que indicaban al usuario la posibilidad de obtener una ganancia extraordinaria de dinero (por ejemplo: “ganó la lotería británica” o “un millonario reparte su herencia”) o que solicitaban su ayuda caritativa (con mayores índices de ocurrencia luego de catástrofes como por ejemplo Katrina). En el primer caso, si el usuario contestaba el correo luego se le solicitaba el depósito de una suma de dinero determinada para poder cursar las tareas administrativas.

En general, una vez que la víctima entrega el dinero al atacante éste finaliza el contacto con ella, imposibilitando cualquier reclamo o posibilidad de retorno.

Nuevas tendencias

Luego de muchos años sin grandes cambios en las técnicas utilizadas para cometer este delito, en los últimos meses se han visto nuevas variantes para obtener el dinero de los usuarios. Condiciones externas, como la crisis mundial, impactan también en los atacantes, ávidos de medios alternativos para acelerar los tiempos de sus acciones maliciosas.

Una de las nuevas tendencias de engaño utiliza los populares sistemas de cobro por mensajes de texto a través de la telefonía móvil (SMS). El método consiste en la creación de sitios web que ofrecen descargas de aplicaciones variadas a cambio del envío del mensaje. En la campaña de instaladores falsos en español, que ha reportado ESET en los primeros meses del 2009, gran cantidad de sitios de habla hispana solicitaban el envío de un mensaje de texto para la descarga o la instalación de diversas aplicaciones.

El listado de programas afectados es variado, conteniendo incluso aplicaciones que pueden ser descargadas de forma gratuita desde sus sitios oficiales (por ejemplo Mozilla Firefox). Esta técnica, denominada SMS Scam , es realizada masivamente por gran cantidad de páginas web. Los atacantes obtienen ganancias de varios dólares por cada mensaje de texto enviado, según el caso. Si a esto se lo multiplica por la cantidad de usuarios engañados, la tasa de ganancia para ellos es elevada.

Otra de las tendencias observadas en aumento es la denominada “scammers rusas”. La técnica, que comenzó a observarse en los últimos años, aparece día a día con mayor frecuencia en las bandejas de entrada. En su formato clásico, consiste simplemente en un nuevo pretexto para engañar al usuario: el mismo es contactado por correo electrónico por una supuesta mujer rusa, que quiere huir de su país en búsqueda del “hombre de sus sueños”. Luego de intercambiar algunos correos, la mujer solicita al hombre el depósito de una suma de dinero, supuestamente para costear el trámite de visa, o incluso los pasajes en avión.

Nótese que a diferencia del SMS Scam, se trata de un delito más personalizado (el atacante debe contestar cada correo recibido) pero obteniendo sumas de dinero mayores ante cada víctima.

Por último, hemos detectado una nueva evolución de esta técnica: la creación de sitios web como redes sociales para contactar hombres y mujeres . Cuando los usuarios navegan por el sitio web (al cual llega a través de un spam), observarán gran cantidad de mujeres intentando iniciar un contacto amoroso. El sitio requiere que los usuarios posean crédito para visualizar los mensajes, cobrando a cada víctima que espera que el amor golpee a su puerta, a través de un correo no solicitado.

Conclusiones

Claramente los atacantes han comenzado a utilizar tanto su ingenio, como nuevas soluciones tecnológicas para continuar propagando la amenaza del scam.

Desde este punto de vista, podemos afirmar que la amenaza ha evolucionado en el sentido de:

Nuevas historias: la descarga de aplicaciones y los contactos amorosos, entre otros, han suplantado a los clásicos anuncios de premios o solicitudes de donaciones.
Nuevos soportes: los atacantes ya no sólo se apoyan en el correo electrónico, sino también en la creación de falsos sitios web para engañar a las víctimas.
Nuevos métodos de cobro: el histórico depósito bancario ha sido complementado con cobro por mensajería de texto o cobro vía Internet.

Sin embargo, a diferencia de lo que ocurre con otras amenazas, la evolución del scam no resulta de radical importancia, dado que los métodos de prevención no se han visto modificados, a pesar de la utilización de nuevas técnicas por parte de los atacantes. Dicha evolución, no ha tenido un impacto radical en la peligrosidad de la amenaza, que se mantiene similar desde el surgimiento de la misma.

Los principales métodos de precaución siguen vigentes:

• Evitar leer información no confiable sin validar las fuentes
• No utilizar dinero en ningún tipo de servicio del cual no se posean referencias ni posibilidad de hacer un seguimiento del mismo
• Eliminar cualquier tipo de correo no solicitado, preferentemente con herramientas anti-spam como las incluidas en ESET Smart Security

En conclusión, no hace falta ninguna nueva precaución ni herramienta para no ser víctima de Scam: la conciencia del usuario y su educación en seguridad informática serán lo que lo prevenga da caer en este tipo de engaños.

eset-la.com

No hay comentarios:

Publicar un comentario

MYA Systems on Facebook