Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 20 de septiembre de 2007

¿SON LOS ATAQUES PUMP-AND-DUMP MAS RENTABLES QUE EL ROBO DE IDENTIDAD?

Allá por noviembre de 2006, escribí un texto sobre ataques pump-and-dump, o lo que es lo mismo, el empleo de spam financiero para adulterar los mercados financieros de alta volatilidad.

Los que lean este blog con regularidad sabrán que una de las críticas que suelo hacer habitualmente es que en el mundo del fraude y los delitos tecnológicos se hace mención, casi en exclusiva, a los ataques de robo de identidad, y más concretamente, al robo de credenciales. En su día fue el phishing, en vías de extinción en muchos países (España entre ellos), y hoy en día es el robo de credenciales empleando troyanos. Son los temas de moda, y aunque el efecto mediático es cada vez menor, ya que la gente se ha terminado por acostumbrar a su presencia, siguen dando que hablar.

Así pues, cuando leo a gente con rigor y con independecia que no todo en esta vida es el robo de identidad, y más concretamente, robo de credenciales (en mi opinión no es ni de lejos el principal problema de fraude de una entidad financiera), pues me alegro bastante, porque estoy algo cansado de las borriqueras que se han puesto los medios con los troyanos y el phishing. Estas borriqueras sólo dejan ver hacia delante y no permiten abrir la visión a los muchísimos “laterales” a los que se enfrentan los usuarios en su día a día en la red: existen otros problemas, y cito sólo algunos ejemplos: la venta ilegal, el juego online, la extorsión criptoviral, el spam, las cartas nigerianas, las farmacias online, las estafas segmentadas, el empleo ilegal, el crimen organizado en general y cómo no, la adulteración de mercados volátiles mediante spam. Todavía más irritante es comprobar que muchas veces se limita el concepto de robo de identidad al robo de credenciales, cuando lógicamente, el robo de credenciales es sólo un subconjunto del primero.

La semana pasada Ameritrade sufrió un robo de datos bastante relevante. Según ha declarado la organización, y median en ello juzgados y autoridades policiales, el robo de datos sólo se extendió a nombres, teléfonos y direcciones de correo electrónico. Aún teniendo a su disposición los autores del robo los números de seguridad social y números de cuenta en la misma base de datos, aparentemente, estos datos no fueron capturados. Esto hace pensar que el ataque, aparentemente, no iba enfocado al robo de identididad.

Este caso nos hace pensar que el atacante o atacantes se han movido por intereses ajenos al robo de identidad. Recientemente, el Gobierno de EEUU liberó una nota de prensa en la que se detalla cómo un atacante, empleando pump-and-dump, se embolsó más de 3 millones dólares. Esta cifra está muy alejada de cualquier robo de credenciales, salvo negligencia e inoperancia de la entidad afectada, lógicamente. Cualquier entidad mínimamente preparada, y me consta que la inmensa mayoría lo están, puede afrontar un robo de credenciales de una manera ágil y limitar los montos sustraídos, bien sea por los límites que el usuario tenga en su operativa, bien sea por la rapidez en cortar el acceso a unas credenciales comprometidas. Hay que explotar con éxito MUCHAS credenciales para embolsarse 3 millones de dólares.

No menos cierto es que el robo de emails cualificados puede ser una excelente vía de segmentar phishing, sobre todo en EEUU, donde el phishing convencional tiene una actividad bastante elevada. De todas maneras, coincido con John Bambenek: este caso tiene toda la pinta de ser una maniobra orquestada para atacar mediante spam financiero a receptores cualificados.

¿Realmente tenemos tan claro que el robo de identidad en cualquiera de sus formas es más rentable que otros delitos tecnológicos, como la adulteración de mercados? Yo no lo tengo tan claro. Y lo que más me asusta es que mediáticamente, la atención se está desviando a un único punto, con lo que el resto de frentes está total y absolutamente fuera del punto de mira, con lo que los esfuerzos por educar al usuario final son prácticamente nulos.

Fuente: http://www.sahw.com

0 comentarios:

Publicar un comentario en la entrada