Análisis de estafas a empresas
Tiempo de lectura estimado: 6 minutos
Esta conferencia magistral pertenece al Módulo 9 “Pentesting” de C1b3rWall Academy 2021/2022. El objetivo de la misma es mostrar cómo se llevan a cabo algunas de las estafas más recurrentes a empresas.
MITM en la empresa, en el proveedor o en el servidor de correo
En nuestro ejemplo, las empresas A y B tienen una relación comercial y una cuenta de correo de la empresa A está comprometida, por lo que el atacante ve todos los movimientos.
Puede darse la misma situación pero con la cuenta comprometida en la empresa B (proveedor), o que el atacante tenga las credenciales del servidor de correo creando un tráfico de correo de manera fraudulenta. El objetivo es buscar una factura en la que existe algún cambio, donde se interviene con ingeniería social. Van a utilizar la suplantación de identidad para autorizar ciertos movimientos bancarios en la misma entidad pero en otro número de cuenta, así como documentación falsa del banco,
Para defendernos debemos utilizar medios criptográficos y que el propio banco implemente sistemas de verificación.
Suplantación de identidad con TLD cambiado
Los atacantes compran el dominio de una web pero con otra extensión y clonan la web original. En el ejemplo, los clientes compran vehículos en la web falsa pero estos nunca llegan y los estafadores se quedan con el dinero. Como solución a esta estafa, debemos comprar para nuestras webs como mínimo el .com y el .es si estamos en España y comprobar qué potencial tiene algún otro para comprarlo también y redirigirlo al principal.
Anuncios fraudulentos en páginas verdaderas
Los atacantes clonan el anuncio con las mismas fotos y cambian el nombre del anfitrión y ubicación. Si les contactas, te mandarán a un falso Airbnb, Tripadvisor… donde puedes realizar el pago. Para dejar constancia de estas webs fraudulentas, ya que en cuestion de horas aparecen y desaparecen, podemos utilizar WayBack Machine o eGarante.
Phishing de credenciales bancarias
Es común recibir correos o SMS de entidades bancarias o instituciones como la Seguridad Social o Correos con asuntos relacionados con nuestras cuentas bancarias. Para “solucionar” aquello que nos piden en el mensaje tenemos que hacer click en un link que nos redirige a una web falsa en la que nos piden nuestros datos. Estos enlaces vienen acortados, podemos utilizar páginas como Expand URL para ver el dominio al que nos redirigirá sin llegar a entrar en él.
SIM swapping
Ligado a la anterior existe el SIM swapping. Consiste en llamar a la operadora y solicitar una nueva tarjeta de la víctima. Con ella, tenemos acceso a los SMS de verificación de seguridad de transferencias bancarias.
Inversión en criptomonedas
Páginas fraudulentas que prometen altísima rentabilidad en muy poco tiempo y con una inversión mínima muy baja. Nos piden datos personales, sobre todo bancarios. También suelen tener programas de referidos con buenos porcentajes de ganancia.
Para realizar estos ataques suelen utilizar diferentes técnicas:
- Ataque homográfico
- Spoofing de SMS
- Suplantación de identidad con información interna
- Acceso lícito por Leaks de contraseñas
- Vulnerabilidad en servicio de escritorio remoto
En la masterclass en vídeo se muestran de manera práctica todos los ejemplos expuestos.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Eduardo Sánchez
CEO de AllPentesting y responsable de Hack & Beers. Cuenta con otros proyectos como Satoe, Balizas Digitales o Estafa del CEO.
¿Cuál es tu reacción?