Saltar al contenido

Trending topics

El robo multimillonario de ciberdelincuentes fracasa

Luciana Marques

29.11.18 7 min. de lectura

“Tres millones de euros son mucho dinero para usted y para mí”, dice Janne Kauhanen de F-Secure. “Algo estuvo muy, muy mal”.

Esta es la historia de un ataque cibernético. La mera combinación entre suerte y astucia en las medidas de seguridad posteriores al incidente logró frustrar una estafa de gran envergadura.

Ladrones intentaron atacar a una empresa de inversión cuando ésta realizaba un pago en el momento cerrar un trato. Se suponía que debían enviarse dos pagos, solo uno había llegado.

Lo que causó la alerta fue el nivel de finlandés de la carta de presentación. Había sido mal traducido y se habían enviado varias versiones de la información de pago desde la cuenta de correo electrónico del empleado hasta que ésta se finalizó. Dos de los correos electrónicos fueron reenviados tal cual, pero en el tercero el idioma había cambiado.

“Sólo hubo un par de minutos entre el envío de la información del correo electrónico”, explica Janne Kauhanen, experta en seguridad de la información de F-Secure, “en tres ocasiones y en el transcurso de pocas horas. Una persona que se hizo pasar por un empleado reenvió el mismo mensaje desde la cuenta de Office365 del empleado”.

Carnada

Un número de cuenta bancaria de muchos fue cambiado en un archivo grande de Excel. Pero fue exactamente esa la que se refería a la transferencia de tres millones de euros.

Los abogados de la empresa de inversión contactaron a los expertos de F-Secure. El Consultor Principal de Gestión de Riesgos, Marko Buuri, y su equipo comenzaron a construir un cronograma para verificar lo sucedido. La investigación mostró que la cuenta de correo electrónico de Office365 de ese empleado había sido hackeada aproximadamente un mes antes de esto.

“Su cuenta fue violada después de recibir lo que al parecer era un correo electrónico genuino sobre una entrega de paquetes. En realidad, éste resultó ser una campaña de phishing que utilizaba como carnada a una conocida empresa internacional”, explica Marko.

Desafortunadamente, la autenticación de dos factores (2FA) no se encontraba activa en ese momento, aunque desde entonces la empresa ha implementado este método siguiendo los consejos de F-Secure. Lamentablemente las empresas no están muy familiarizadas con lo fácil que es perder el control de las cuentas de Office365.

“Por supuesto que no conocemos todas las discusiones de fondo que ellos han tenido sobre 2FA o las decisiones de riesgo que han tomado, pero las empresas tipicamente rechazan esta opción por dos razones”, afirma Janne.

“En primer lugar, cuesta más porque esto encarece las licencias de Microsoft. Por otra parte, es necesario entrenar a la gente y proporcionar orientación y apoyo cuando se implementa. Asimismo, es difícil de configurar, y suele haber inconvenientes para los usuarios involucrados”.

 “La clave no estaba”

Los ciberdelincuentes también intentaron engañar a otras personas de la empresa, pero sin éxito. Janne explica que “los empleados frecuentemente no se dan cuenta que campañas de phishing pueden llevar a esto”.

“Por lo general ellos tampoco son conscientes de lo que ocurre al la reutilizar las claves, por ejemplo, cuando los empleados utilizan contraseñas en otro lugar y esos servicios son los hackeados. Lo que observamos actualmente, es que los atacantes utilizan esos datos y los comparan con las cuentas corporativas. Algunos de ellos siempre serán violados”, añade Marko. El phishing sigue siendo la forma número uno en que se producen estos tipos de ataques.

“El empleado en cuestión hizo clic al enlace de DHL en el correo electrónico y abrió una página. Esa parecía una de ingreso a Office365 común y corriente. Un usuario no puede detectar ninguna diferencia visual entre esto y el formulario de inicio de sesión correcto. Una vez que el empleado tecleó las credenciales, la clave desapareció. Es un error que la mayoría de nosotros podríamos cometer”, cuenta Janne Kauhanen.

Los analistas de F-Secure revisaron los correos electrónicos entre la compañía de inversiones y el banco. También examinaron el Office365 del empleado en las actividades de registro de seguridad del servicio en la nube y el hardware que utilizaban.

Riguroso control

“Investigamos el notebook por si había algún registrador de pulsaciones de teclas. De otra manera habría sido sólo una especulación decir que esto sucedió debido al phishing, sin haber mirado el computador”, explica Marko Buuri. “Pudimos reconstruir la actividad del usuario desde el navegador web y así supimos que ellos abrieron ese correo electrónico e ingresaron la clave allí mismo”.

Fue ese el momento exacto en que los investigadores pudieron confirmar que eso había sucedido realmente.

“Aparte de eso nos dimos cuenta que todos los correos electrónicos del usuario de los últimos dos años y medio habían desaparecido. Los correos electrónicos contenían también información personal de otros, como nombres, direcciones de correo electrónico y datos de contactos. Asimismo, había pasaportes escaneados porque el trabajo asi lo requería. Tuvimos que asumir que todo eso había desaparecido.”

Los ciberdelincuenten habían elegido a este empleado en particular debido a su papel dentro de la empresa. Uno de los muchos medios utilizados para hacer esto es LinkedIn, donde las direcciones de correo electrónico se pueden deducir facilmente de la dirección de LinkedIn de la empresa.

Una vez que una cuenta ha sido violada, los atacantes solo requieren identificar a las personas realmente interesantes como botín y luego engañar a la gente de allí.

“Por ejemplo, los delincuentes podrían encontrar una discusión reciente entre dos o más partes y responder a ella, aprovechándose de la confianza mutua. Los involucrados saben que tuvieron la conversación y reconocen el tema. En este contexto es usual que el usuario revise un link proporcionado si éste recuerda haber tenido una conversación al respecto”, explica Janne.

El eslabón más débil

Los expertos de F-Secure dieron inmediatamente instrucciones a la empresa sobre cómo verificar si se habían violado otras cuentas. “Les aconsejamos que revisaran todas las cuentas de Office365 de sus otros empleados y buscaran un cierto tipo de configuración en ellas. De encontrarse algo así, eso sería una clara señal de que esas cuentas también habrían sido hackeadas”, añade Marko.

No se encontró evidencia de esto, pero para intentar controlar la situación se les pidió a los empleados que cambiaran sus claves y se les advirtió que no hicieran clic a ningún link de un correo electrónico.

“el personal siguió nuestras instrucciones y eso fue muy acertado porque el empleado volvió a recibir el mismo correo electrónico inmediatamente después de haber cambiado la clave. Eso significa que alguien estaba tratando de recuperar el acceso”, explica Marko.

El experto añade que la empresa no tiene nada de qué avergonzarse y que tampoco nadie culpa a ese empleado en particular. “Siempre será posible alcanzar a un ser humano”, dice Janne Kauhanen.

Sin embargo, el incidente hace que se surjan preguntas curiosas, una de ellas es por qué se estaba utilizando Excel para este tipo de transacción. “Para hacer transferencias de dinero suelen enviarse hojas de cálculo de Excel a través de un correo electrónico no encriptado y nadie se asombra de ello. Probablemente las compañías con millones y millones de euros necesiten una mejor manera de hacer las cosas que sólo a través del correo electrónico”, dice Janne. 

Identidad enmascarada

Los cibercriminales habían ya preparado todo y estaban esperando pacientemente a que apareciera el tipo de información adecuado para cometer el crimen. Ellos estaban en línea, monitoreando permanentemente los correos electrónicos.

Desde luego los delincuentes habían enmascarado su identidad, aunque Marko explica que su equipo “está en conocimiento de que las múltiples direcciones IP que se utilizaron para acceder a la cuenta hackeada pertenecían a un proveedor de servicios de Internet nigeriano”. “Por supuesto que no podemos decir con certeza quiénes fueron los atacantes o incluso si operaban desde Nigeria. Ellos pudieron haber usado computadores pirateados de este ISP pertenecientes al área de direcciones de ISP nigerianas. A menos que los atacantes usaran varias computadoras hackedas, parece que ellos entraron usando este ISP “.

Afortunadamente la empresa fue capaz de recuperar la transferencia de tres millones de euros en cuestión de horas, ya que la remesa y las monedas de pago eran diferentes. El dinero fue congelado en una cuenta de retención mientras se realizaba la transacción FOREX.

“Los ciberdelincuentes casi se salen con la suya”, concluye Marko Buuri.

Luciana Marques

29.11.18 7 min. de lectura

Artículos relacionados

Newsletter modal

Gracias por tu interés en el boletín de noticias de F-Secure. En breve recibirás un correo electrónico para confirmar la suscripción.