Weblog de JaCkSecurity

En el juego de golf, existen ocasiones cuando los jugadores aciertan un hoyo con sólo un tiro. Tan improbable situación, que bien podría pasarle a cualquiera (golfistas puede replicar), podría no repetirse nunca más el resto de su vida. Por esa razón, existen concursos y hasta una organización (quizás otras) dedicadas a premiar a quienes alguna vez en su vida (sin querer o queriendo) hagan un hoyo en 1. El negocio funciona a manera de seguro, o concurso. Las recompensas pueden ser más que incriebles, un auto deportivo, de lujo o del año, o un cheque por 1 millón de dólares.

Esa misma táctica de hacerse rico, pero con un % de probabilidad muy superior, es el empleado por los phishers: para hacer su millón en 1 hoyo. Para ello, instalan más de un sitio web fraudulento en un servidor víctima. No desaprovechan ni un céntímetro de espacio libre en el disco duro.

Como consecuencia del desconocimiento de esta táctica (no muy deportiva), los afectados (es decir, los administradores de los servidores hackeados que son usados para cargar páginas fraudulentas) piensan que con borrar el directorio donde observaron un sitio web phishing es suficiente. Si hacen eso, a las pocas horas, tendrán que borrar otro sitio web phishing en otro directorio oculto en el mismo servidor.

Hace un año, y unos cuántos meses atrás, en un simposio internacional de seguridad y comunicaciones, imprimimos (copiamos: con permiso) el postulado de una especialista de seguridad, que hablaba acerca de la inseguridad. En ese documento de más de 10 hojas, se citaba el estado actual de las prácticas de seguridad desde una perspectiva global.

Sin duda, un mensaje poco menos que popular, pero que increiblemente venía de alguien que trabajaba para una compañía de ingeniería de seguridad (cítese, fabricante de equipos y tecnología de seguridad en redes).

A ese documento bien pudo acompañarle el video de un ex-escritor de Network Security, el señor Rik Farrow. Véalo ustedes mismos.

Normalmente, JaCkSecurity no atribuye loores a fabricantes de productos de seguridad. Sin embargo, es momento de hacer una simpática excepción. Se trata de un producto que cuesta alrededor de unos USD 200.00 (dólares americanos), es decir, el precio de seis o siete licencias básicas de antivirus al año, o unos 5 años del servicio Zona Segura de Speedy (¿cinco años?)

El producto se llama FlexiSpy, y es un software que permite secuestrar su propio teléfono celular, para usarlo como elemento de espionaje o como elemento de vigilancia, entre otras opciones más.

Sin embargo, las cosas no suceden por simple casualidad. La hazaña de este software, no hubiera arrendado tiempo y espacio a éste blog, si no hubiera sido gracias a una singular noticia de terror, que fuera publicada hoy en JaCkNews. De acuerdo a los investigadores de éste caso de acoso telefónico, todo parece concluir que se trata de un buen engaño, provocado por la hija de una de las familias.

¿Tendrá, esta persona, algo que ver con la cobertura “gratuita” que viene recibiendo FlexiSpy?

Relacionados o no, el loor es válido, por lo menos si la herramienta tiene fines benéficos como éste.

Los phishers saben lo que es economizarse espacio y tiempo. Comúnmente en sus patrañas usan elementos del sitio web original, es decir, las imágenes, flashes, hasta textos html, entre otros. Sin embargo, es precisamente esa misma práctica la que puede ayudar a sus víctimas -típicamente los bancos- a detectar un phishing de sus sitios webs, incluso antes que correos como estos lleguen.

A diferencia de la pésima redacción que suelen tener los correos de un phishing, se puede observar que la redacción, diseño, orden y estructura de las imágenes de un sitio web phishing son de lejos muy superiores, y totalmente limpias.

Esta notoria diferencia y superior calidad de diseño y redacción, se debe principalmente a que los phishers usan -como señalamos- elementos del sitio web original. Como se observa en el siguiente pantallazo.

Al revisar en los círculos en rojo, se aprecia que efectivamente lo dicho se cumple. Aún los contenidos html, son extraídos del sitio web original.

Un banco o institución financiera comprometida con su seguridad deberá disponer de un buen analista de intrusiones que se tome la molestía de programar expresiones regulares (o de leer personalmente los logs del tipo visto) para pescar a los phishers antes que ellos pesquen a su institución. Un webmaster sabe que esto es relativamente sencillo de hacer, aunque -como se señaló- bastante exigente y comprometido (en el análisis de intrusión). Sólo basta ver los hits absolutos y no los relativos, de los elementos de la web, en el log del web server.