¿ES POSIBLE EL ROBO DE IDENTIDAD? ESTO PASO EN BRASIL
Ataque masivo por robo de identidad en universidades de IP de ... agencia brasileña de aplicación de la ley
Los ciberdelincuentes no solo roban credenciales o infectan computadoras con malware. También buscan datos personales de los usuarios, incluidos pasaportes e identificaciones, direcciones físicas, números de teléfono y mucho más. Estos delitos cibernéticos pueden clasificarse como robo de identidad: utilizando los datos robados, los delincuentes se hacen pasar por víctimas para proporcionar actividad maliciosa. Los perpetradores utilizan una variedad de trucos astutos para hacer que los usuarios entreguen sus datos. Este es el ejemplo más reciente: un ataque de robo de identidad dirigido a 409 direcciones de correo electrónico de universidades y municipios en la última década de abril.
Los atacantes utilizaron el siguiente mensaje de correo electrónico para atraer a los usuarios:
El correo imita un mensaje de EL Cordo Lottery. Para recibir el premio, el correo electrónico informa al receptor que son los ganadores de la lotería y le pide que complete un "Formulario de procesamiento de inicio de sesión" disponible a través del enlace. El mensaje en sí es bastante simple y, obviamente, no parece muy atractivo. Pero hay algunos matices interesantes al respecto.
Los atacantes utilizaron un correo electrónico de un departamento universitario conocido como la dirección del remitente (no nombramos a la universidad aquí para proteger a los inocentes). Pero en realidad, el mensaje malicioso se envió desde la IP 189.72.174.152 que, como puede ver a continuación, pertenece a la Secretaría de Seguridad Pública y la Administración Penitenciaria de Brasilia. Esta agencia coordina la actividad de las fuerzas de seguridad pública en el país.
inetnum: 189.72.174.128/26
aut-num: AS8167.
abuse-c: CSIOI
propietario: SECRETARIA DE SEG PÚB E ADMINISTRAÇÃO PENITENCIÁRI
ownerid: 01.409.606 / 0001-48
responsable: RODRIGO TAPIA PASSOS DE OLIVEIRA
owner-c: RTPOL
tech-c: RTPOL
creado: 20171109
modificado: 20171109
inetnum 189.72.0.0/14
nic-hdl-br: RTPOL
persona: Rodrigo Tapia Passos de Oliveira
creado: 20130104
cambiado: 20130104
nic-hdl-br: CSIOI
persona: CSIRT OI
creado: 20140127
modificado: 20140127
Es difícil decir con precisión si el atacante es un empleado de la Secretaría o los ciberdelincuentes han comprometido el servidor de la organización. Sin embargo, en ambos casos, la policía brasileña definitivamente tiene razones válidas para investigar la situación.
Ahora, averigüemos qué sucede si un usuario toma el cebo y hace clic en el enlace.
Como puede ver, aparece un formulario para rellenar.
El formulario fue creado por un servicio Jotform legítimo, que se posicionó como "la forma más fácil de crear formularios y recopilar datos", por lo que aquí tenemos un ejemplo más de uso de servicios legales y herramientas para cometer un delito. Sin duda, este matiz también ayuda a atraer a los usuarios. Seguro que muchos de ellos regalarían lo que el formulario requiere: nombre completo, dirección física, correo electrónico, número de teléfono, fecha de nacimiento, estado civil e incluso una copia del pasaporte.
Después de ver los gráficos, puede que se pregunte: ¿por qué los perpetradores recopilan esta información?
Primero, pueden utilizar los datos robados para que un robo de identidad cubra su actividad maliciosa. El robo de identidad es un delito cuando los perpetradores se hacen pasar por una víctima utilizando su información privada. Pueden usarlo de varias maneras, para nombrar algunos: registrar un sitio web para actividades ilegales, abrir una cuenta financiera para el lavado de dinero o la venta de drogas, y hacerse pasar por la víctima en instituciones estatales o empresas comerciales, etc.
Segundo, pueden usar estos datos para atacar a la víctima en el futuro. Pueden preparar un ataque de phishing basado en los datos robados. O incluso simplemente penetrar en su casa, por qué no, ya tienen la dirección física de la víctima y un montón de información privada para facilitar la penetración.
Como mínimo, solo pueden vender los datos a otros delincuentes en la web de Dark.
Sin embargo, los ciberdelincuentes no son los únicos que buscan datos personales. Los servicios de inteligencia de muchos países también buscan dicha información para brindar cobertura a sus agentes en operaciones clandestinas.
El ataque comenzó el 20 de abril de 2018 a las 07:39 UTC y finalizó el 20 de abril de 2018 a las 11:14 UTC. Los atacantes enviaron 409 correos electrónicos, 392 de los cuales fueron dirigidos a las direcciones de correo electrónico de algunas universidades.
"El robo de identidad es un delito cibernético muy peligroso", dice Fatih Orhan, Director del Laboratorio de Investigación de Amenazas de Comodo . "Desafortunadamente, muchas personas todavía lo subestiman y fácilmente regalan sus datos personales. No ven ninguna amenaza al rellenar algún cuestionario. Por lo tanto, para un delincuente cibernético extraer esta información de una víctima es incluso más fácil que hacer que descargue un archivo malicioso. Pero las consecuencias de un robo de identidad no pueden ser menos desastrosas que una infección de malware . Es por eso que los medios técnicos de protección como Comodo KoruMail son especialmente útiles en tales situaciones: pueden identificar la amenaza y neutralizarla incluso antes de que llegue a las personas. Eso es justo lo que sucedió en este caso. El ataque falló, los clientes de Comodo se mantuvieron a salvo ”.
Fuente:ComodoLab