domingo, 18 de noviembre de 2007

Metodología del engaño

Hasta ahora hemos visto la historia del phishing y como evoluciono desde los primeros engaños hasta el empleo de sofisticación técnica. Veamos como esclarecemos algunas técnicas que nos ayudaran a identificar ante caso nos podemos encontrar, para ello iremos clarificando algunos conceptos que hemos estado empleando:

El Método inicial es el conseguir los datos confidenciales que permitirán el acceso a las cuentas bancarias a través de Internet, para ello se puede recurrir a uno de los servicios más utilizados en la red que es el correo electrónico, pero sin olvidar otros servicios emergentes que están siendo objeto también del phishing que son, entre otros, la Mensajería Instantánea, los foros de noticias, las redes sociales, los buscadores, el P2P, las páginas Web,…

Dentro de la subcategoría por correo electrónico debemos subdividir en dos modalidades mediante correo electrónico selectivo o mediante SPAM, en ambos casos el mail debe incorporar la estrategia de captura y a través de un HOAX, engaño o bulo, lo que llamaremos Ingeniería Social, conseguir que la carga actué:

Esta carga adicional que incorpora el email puede ser código de captura en el mismo correo, redireccionamiento a otra ubicación para inocular código malicioso o capturar los datos por una falsa Web (Web Spoofing). El código malicioso puede realizar modificaciones de los mecanismos de traducción de los nombres de dominios y resolver el recurso en Internet a su interés malicioso, es lo que se ha venido a llamar “Pharming”, o bien modificar el comportamiento de la máquina infectada agregando servicios y procesos que daran una operatividad a la misma de acuerdo a la función maliciosa a desarrollar, ejemplo de esto es el caso de noviembre de 2003 con la modificación de un troyano que habilitaba a la máquina infectada a actuar como máquina zombie, además de hace correr un keylogger cuando la misma se conectaba a direcciones de Internet que contenía una de las palabras claves de monitorización y que se correspondía con entidades financieras.

En síntesis estos correos electrónicos se basan principalmente en dos técnicas underground, el SPAM y la Ingeniería Social.

El Spam se basa en trabajar con gran cantidad de victimas potenciales, también se le conoce como Junk mail, o correo basura, y esta apareciendo en otras modalidades de comunicación como la mensajería instantánea (SPIM), Servicios de mensajes cortos (SMS Spam), Telefonía IP (SPIT).
Como características básicas encontramos:
- Dirección del remitente no conocida y habitualmente falseada
- Mensaje no suele tener dirección reply
- Presenta un asunto llamativo
- Mayor parte del Spam era en inglés aunque ahora aparece en otros idiomas
Emplean para su difusión técnicas anti-antispams:
- Envío de correo - verificación de la recepción
- Servidores de correo vulnerables o mal configurados, en concreto los que están configurados como Open Relay, que no necesitan usuario y contraseña para ser utilizados y que permiten a cualquier usuario enviar mensajes sin comprobar su remitente (que normalmente estará falsificado). Existen Open Relay Database
- Open proxies
- Ordenadores comprometidos por malware: determinados malware realizan acciones encaminadas a permitir el envío de spam a través de los ordenadores que afectan, como la instalación de servidores proxy. Incluso es posible alquilar el uso de botnets, verdaderas redes de ordenadores afectados por bots (híbridos de gusanos, troyanos y backdoors).
- Suplantación (spoofing), camuflaje (munging)
- Ataques del tipo DDoS (distributed denial-of-service) contra servicios DNSBL y otras fuentes anti-spam
- Emplear configuraciones deficientes de servicios DNS
- Emplear dominios caducados
- NDR falso (notificación de entrega fallida -Non-Delivery Report)
- Mensajes con sólo un archivo con extensión ‘.jpg’ o ‘.gif’
- Envío alfabético (mensajes enviados a grupos en orden alfabético)
- Envío horizontal (muchos mensajes enviados a muchos grupos)
- Envío vertical (muchos mensajes enviados a un grupo)
- Crosspost (un mismo mensaje se envía una vez a varios grupos)
- Multi-Post (un mismo mensaje se envía varias veces a varios grupos)
- Hash Buster (contenido válido mezclado con contenido errático)
- Payload (la parte del spam que realmente se difunde)
- Enviar mensajes y cerrar cuentas
- División de la línea de Asunto del mensaje mediante falsos saltos de línea
- Uso de caracteres nulos (codificación de tipo Quoted-Printable)
- Encapsular una etiqueta "map" con una de tipo HREF, de tal forma que en lugar de una URL maliciosa aparezca otra legítima
- Permutar letras en las palabras usadas. El mensaje sigue siendo legible para el receptor, pero los filtros no reconocen las palabras usadas
- Uso de caracteres ASCII para “dibujar” el contenido del mensaje
- Invertir el texto, utilizando la anulación derecha-a-izquierda (right-to-left override) de Unicode, expresada como entidades HTML (‮ y ‬)
- Uso de etiquetas HTML incorrectas
- Codificación de URLs
- Empleo de entidades HTML para ocultar determinadas letras
- Uso de tinta invisibles
- Incluir el mensaje de spam como archivo adjunto en otro mensaje válido
- Uso de CSS (Cascading Style Sheets) en los mensajes de spam para ocultar determinadas palabras o partes del mensaje.
Como se distribuye:
- Empleo de robots (programas automáticos), que recorren Internet en busca de direcciones en páginas web, grupos de noticias, weblogs, etc
- Trampa de spam (opción preseleccionada por defecto en un formulario online)
- Sitios web que solicitan información para brindar un determinado servicio
- Hacer clic en ‘Aceptar’ sin leer la letra pequeña y sin desmarcar lo no deseado
- Servicios gratuitos de descarga (warez)
- Suscripciones por Internet (opt-in)
- Grupos de noticias, foros de discusión, listas de correo ((el spammer después de darse de alta anota el resto de usuarios del grupo)
- Técnicas de DHA (Directory Harvest Attack): el spammer genera direcciones de correo electrónico pertenecientes a un dominio específico
- Compra de bases de datos de usuarios a particulares o empresas
- Encuestadoras (de opinión)
- Chat, juegos en línea
- Cadenas y difusión de cadenas
- Entrada ilegal en servidores
- Por ensayo y error, ataque por diccionario
- Virus, spyware, cookies, phishing
- Otros
La Ingeniería Social se basa en el error humano y se trata de conseguir a través de los sentimientos o de la confusión, de esa forma rompemos la cadena de la seguridad por este eslabón, que muchos consideran como el más débil. Se apoya en que la gente tiende a ayudar, en primera instancia es confiada, no le gusta decir que no, le gusta que les elogien y se dejan llevar por los sentimientos como la ambición, la curiosidad, el miedo, la codicia, la vergüenza, la solidaridad, la compasión, la lujuria, ,,,
El empleo de SPAM con un bulo (HOAX) de forma que el receptor abra, lea, obedezca o simplemente realice lo que ha planificado el remitente es lo que se conoce como SCAM.

22 comentarios:

kevin dijo...

El principal grupo de cibercrimen global ha desaparecido de la Web, por lo que se teme que esté reorganizándose en China. El grupo en cuestión es Russian Business Network (RBN), con sede en San Petesburgo, y cuyo líder es el denominado “Flyman”.
RBN actúa con apariencia de sites que parecen legales. A través de estos, instala software infectado en los ordenadores de los usuarios que visitan estas páginas. Una vez que ha infectado el equipo, puede copiar las contraseñas, enviar correo basura o lanzar “cyber ataques” en redes del gobierno.

Anónimo dijo...

Tal com comentes la RBN es una empresa que suposadament proporciona allotjament i infrastructura per malwares, i s’encarrega de fraus i de donar allotjament a empreses amb finalitats il.lícites. La RBN és una empresa que consta de moltes altres empreses subsidiaries com l'Akimon, o la Nevacon. El contacte o administrador de la RBN és el sr. Nicolay Ivanov i el fundador i líder d'aquesta empresa RBN és l’anomenat Flyman.
72TWN.

luisciffer dijo...

Osea que todo esta relacionado, no van uno x uno !

nuria dijo...

Este artículo nos habla de la diferencia entre las dos formas que hay de engaño en Internet, el SPAM y la Ingenieris Social, siendo esta primera más complicada de descubrir a causa de sus múltiples facetas de dispersión en la red y los muchos métodos de camuflarla.

Nuria Pujol Gutierrez
11339860

jordi botet dijo...

Nevacon y Akimon son dos empresas ficticias que Nicolay Ivanov alias "Flyman" creó para llevar a término un fraude bancario mediante internet con la técnica de Phising.

Anónimo dijo...

flyman ponte a currar, como hacemos todos y podras dormir más tranquilo.

Anónimo dijo...

En l’article que m’he llegit diu que la pirateria té com a centre d’operacions Russia, això és degut que aquesta pirateria és difosa per les revistes. Per tant RBN (Russian Bussines Network) ofereix un gran ventall d’activitats tals com el Phishing, la difusió de Malware, la pornografia infantil i altres activitats il•legals. Per poder realitzar totes aquestes activitats RBN té varies filials una d’elles és l’ anomenat Akimon el qual és utilitzat freqüentment per allotjar malware. Un altre filial és Nevacon, aquest juga un paper important en el control d’ aquest malware. Segons l’ autor de l’ article, aquesta xarxa de Negocis consta de varies persones relaciones amb les activitats abans mencionades. Una d’elles és Nicolay Ivanov, el qual utilitza com ha pseudònim Tim Jarret per poder-se comunicar amb els altres. Però només una d’aquestes persones, Flyman, és el principal líder de les activitats.
32MHD

61QTD dijo...

La mafia del siglo XXI. Realmente es curioso ver como la RBN dispone de un entramado tan complejo. Aun así hay que ser conscientes que una de las partes más importantes en esta red es el phising,y este es perfectamente evitable si los usuarios son lo suficientemente precavidos. Se pueden utilizar complejos entramados, programas técnicamente infalibles pero al fin y al cabo es la pobre víctima la que entrega a los timadores sus datos sin la más mínima resistencia. Para evitar esta mafia habrá que actuar por dos lados, el primero identificar y llevar hasta la justicia a los timadores y el segundo, educar a todos los internautas ya que como comentas son el eslabón más débil.

Patri

Marta Mata dijo...

Pertenecen a la compañia RBN (Russian Bussiness Network) la cual es un proveedor de servicios para el cibercrimen.
Nevacon y Akimon son dos de los servidores afiliados a RBN que crean webs maliciosas de bancos instalando un troyano que no es reconocido como virus por muchos antivirus y que infecta a miles de personas.
Nikolay Ivanov parece ser uno de los miembros de RBN al cual se le relaciona con una IP de un ordenador de la empresa desde el que se realizaban fraudes financiales por Internet. Registra muchos de los dominios utilizados por la empresa.
Flyman parecer ser el líder de RBN y ser el cerebro de esta compleja organización.

petitcriminoleg dijo...

Nicolay Ivanov, Nevacon, Akimon y Flyman, son todo nombres relacionados con el entramado de RBN o Russian Business Network. Redes dedicadas a diferentes actividades de cibercrimen. Nevacon y Akimmon son dos de las redes subsidiarias unidas a RBN en las que se alojaba y se usaba código malicioso asi como otras herramientas relacionadas con el cibercrimen. Nicolay Ivanov, alias Tim Jaret y Flyman son dos de los miembros de esta red criminal, siendo Flyman supuestamente su líder, conocido también por tráfico de pornografía infantil.

Su relación con el phishing viene dada por ser una de las muchas actividades a las que se dedicaba el grupo. Mediante sus redes de Akimon y Nevacon obtenian las claves necessarias para realizar sus actos delictivos.

Castello dijo...

Hemos de saber que la RBN también opera bajo la apariencia de otros nombres diferentes, que pueden aparentar empresas internacionales o divisiones de operaciones. Estos centros de operaciones normalmente no tienen una base geográfica a excepción de algunos que tendrían una localización física pero que también es dudosa. Algunos serían: RBNet, RBNetwork, RBusinessNetwork, Aki Mon Telecom, 4Stat, Eexhost, Rusouvenirs ltd., TcS Network, Nevcon ltd., Micronnet Ltd., Too coin Software, 76service y MalwareAlarm.

Anónimo dijo...

Parece ser que la RBN (Russian Bussiness Network) es una organización muy compleja, desde donde se cometen muchas actividades ilegales a través de la red (practican la tecnica del phising, están relacionados con pornografia infantil,...)
Empresas coma Akimon o Nevacon proporcionan información importante como por ejemplo contraseñas pera que la organitzación pueda efectuar los delitos.

Anónimo dijo...

Parece ser que la RBN (Russian Bussiness Network) es una organización muy compleja, desde donde se cometen muchas actividades ilegales a través de la red (practican la tecnica del phising, están relacionados con pornografia infantil,...)
Empresas coma Akimon o Nevacon proporcionan información importante como por ejemplo contraseñas pera que la organitzación pueda efectuar los delitos.

Sheila

05WNCE dijo...

Nicolay Ivanov utiliza el apodo de Tim Jarret para comunicarse con el resto. Flyman es el líder principal de RBN y podría ser el cerebro de la organización. A través de Russian Bussines Network, aparentemente legal, se realizan actividades ilícitas como phishing, malware… Akimon es una filial directa de RBN y Nevacon también es una filial de RBN pero con un enorme papel en el control de malware. 05WNCE

Mayka dijo...

Hechando un vistazo rápido a los documentos encontrados con relación al tema, RBN ofrece una infraestructura completa para alcanzar actividades malévolas, lo han llegado a considerar un auténtico centro mundial de creación de malware especializado y, en algunos casos, monopoliza el robo de identidad personal para la reventa. Russian Business Network’ (RBN) es un proveedor de servicio de cibercrimen, del cual Flyman parecer ser el líder y el cerebro de esta compleja organización. Independemente de la actividad, RBN, como Agencia de servicio de Internet, ofrece la solución conveniente para realizar: phishing, malware, el juego, la pornografía infantil … aprovechando las vulnerabilidades de los buscadores web. Se sitúa físicamente en San Petersburgo, Rusia, pero desarrollan y comercializan estas complejas técnicas en muchos más países para proporcionar un método que alcance víctimas internacionales.
El RBN también es el autor de MPACK (el software) y el operador de la Tormenta botnet. Nevacon y Akimon son dos de los servidores afiliados a RBN que crean webs maliciosas de bancos instalando un troyano que no es reconocido como virus por muchos antivirus y que infecta a miles de personas.

Nuria A. dijo...

La RBN (Russian Business Network), es una empresa en teoria dedicada al hosting y servicios de internet, considerada el centro internacional del malware y desde donde se descargan los troyanos y circula la información robada.

Su sede se encuentra en San Petersburgo y el jefe es un supuesto Flyman.

Akimon y Nevaron son proveedoras de servicios en Internet subsidiarias de RBN y Nikolay Ivanov es el presunto contacto entre Akimon y RBN.

Unos servidores de RBN vendieron el MPack, una herramienta muy utilizada para los ataques del malware.

Nuria Almazán

Anónimo dijo...

Los expertos creen que casi la mitad de los robos mediante la práctica del ‘phishing’ del año pasado fueron cometidos por grupos que operan a través de la Red de Negocios de Rusia, una empresa de alojamiento web con sede en San Petersburgo y dirigido por una figura conocida como "Flyman". Bautizado "la madre de la delincuencia cibernética", RBN también ha sido vinculada con la pornografía infantil, chantaje empresarial, los ataques de spam y el robo de identidad en línea. Un informe de veri-Sign, una de las empresas de seguridad más grande del mundo de Internet, sugirió que ‘El grupo de rock’, una banda criminal especializada en phishing, utiliza la red de la RBN de robar alrededor de £ 75 millones con cargo a las cuentas bancarias del año pasado. De RBN se dice también que han desarrollado algunos softwares falsos, como programas antivirus para los usuarios de Internet con la intención en darle acceso a sus ordenadores en la creencia errónea de que estaban protegiendo a sí mismos.

Anónimo dijo...

Nevacon y Akimon són dos proveedores de servicios de internet que difunden códigos maliciosos a través de la red y están relacionados directamente con RBN (Red de Negocios de Rusia).
Akimon es una filial directa de RBN que se usa principalmente para acoger los programas maliciosos.
Nevacon tiene una gran control del malware y está directamente alojado en la red RBN.
Flyman es el principal lider de RBN.
Nikolay Ivanov está fuertemente implicado en RBN. De hecho, él es el que ha registrado la mayoría
RBN entidades dominio(rbnnetwork.com, akimon.com
y sbttel.com). Es posible que este sitio web personal es la página principal del mismo Nikolay Ivanov.
Nikolay Ivanov parece ser responsable de todo lo relacionado
con RBN comunicación (apoyo, whois registro…). Es muy probable que Nikolay Ivanov utilice el pseudo
Tim Jarret,apodo para comunicarse con los demás.

Anónimo dijo...

Según la información conseguida desde diferentes fuentes, parece ser que Nicolay Ivanov es el fundador y líder de RBN (Russian Bussiness Network). El creador de RBN además utiliza el alias de Flyman y todo apunta a que está relacionado con un poderoso político ruso.

La RBN es una polifacética organización de delito cibernético, que se especializa en algunos casos en monopolizar el robo de identidad personal para su reventa. Acoge a empresas ilegales y dudosas y también provee servicios de Internet para la pornografía infantil, phising, spam, malware y distribución física con sede en San Petersburgo. Para rematar su complejidad, la RBN no tiene identidad legal, es decir, no está registrada como una empresa, y sus altos cargos son anónimos, sólo conocidos por alias o apodos. Sus sitios web están registrados en el anonimato con direcciones de e-mails ficticios.

Respecto a Nevacon y Akimon son algunas de sus direcciones IP o dominios, constando como empresas subordinadas de la gran RBN. Ambos son importantes para el control de malware.

Una de las actividades de RBN es la creación de kits de troyanos y phishing con la finalidad de “entrar” al ordenador de los usuarios para conseguir datos sensibles y confidenciales y así conseguir dinero de forma ilícita robándolo por vía electrónica o bien introduciéndose en sedes de Bancos de diferentes países y controlar los datos. Así se lleva a cabo el fraude a la banca online.

USUARIO 52IQM

raul dijo...

David Reina.

Segun las informaciones leidas se puede comentar que, La RBN (Russian Business Network)es un entramado muy complejo en el cual se ejecutan actos ilegales en relacion con la informática. La RBN en todo su entramado proporciona facilidaders para los llamados malwares y encubre entre otros ejemplos a determindas empresas que llevan a cabo actividades no legales.
Se dice que su jefe es llamado Fliman.
Akimon y Nevaron, se podrian considerar complices subsidiarios de la RBN y actuan como servidores maliciosos,y donde Nikolay Ivanov es el presunto contacto de estos dos con la RBN.

David Reina.

raul dijo...

El RBN es una organización criminal desaparecida de la web, que se cree puede estar reorganizándose recientemente. Dicha organización se caracteriza por la comisión de delitos como fraude, pornografia...etc . Se dedican a instalar software con una apariencia legal aunque realmente son ilícitos y lo que hacen mediante ellos, es introducir virus informáticos en los ordenadores de los usuarios. De este modo consiguen obtener informacion privada como lo serían contraseñas, claves y otra información de este carácter. En resumen la RBN sería como un proveedor ilícito que se hace cada vez mas dificil de atrapar e incluso se ha llegado a desintegrar en pequeñas piezas para así llegar a mas paises.

JordiLorza dijo...

La RBN ,Russian Business Network, es una empresa dedica al hosting pero ha sido relacionada con: Nicolay Ivanov, Nevaron, Akimon y filman.
Tienen relación con el cibercrimen y por lo tanto con el fraude a la banca online.

Nicole Ivanov parece ser uno de los miembros de RBN,apodado "tim Jaret" al cual se le relaciona con una IP de un ordenador de la empresa desde el que se realizaban fraudes financieros por Internet.

Nevaron y Akimon son dos redes subsidiarias unidas a RBN o Russian Busines Network en las que se alojaba herramientas relacionadas con el cibercrimen, mediante las cuales obtenian las claves necesarias para realizar sus actos delictivos.

Flyman es supuestamente su líder,teniendo tan solo 24 años, utilizava estudiantes universitarios para realizar sus cibercrmenes.


Jordi Lorza

Web Statistics