Phishing contra MySpace: Algunas teorías

MySpace se ha convertido desde hace algunas semanas, en el objetivo
primordial de ataques phishing perpetrados por la banda bautizada como
Rock Phish, una de las más eficaces que utiliza las técnicas más
sofisticadas.¿Por qué robar credenciales de MySpace que en principio
no aportan beneficio económico directo? Lanzamos algunas teorías.

Desde el Laboratorio Hispasec hemos detectado en los últimos días un
súbito y descomunal aumento de ataques phishing perpetrados contra
MySpace, la red social de moda que aloja millones de páginas de
usuarios. Un usuario de MySpace se da de alta y puede construir su
propia página donde alojar su perfil. Otros usuarios lo enlazarán
como amigos creando una densa red de contactos. Las avalancha de URL
fraudulentas detectadas, donde se alojan las páginas falsas de MySpace,
mantienen un estilo inconfundible que las delata como creaciones de la
banda Rock Phish. Hablamos de cientos de nuevas páginas falsas de
MySpace creadas cada día por estos profesionales del phishing.

Rock Phish, es una de las bandas más peligrosas y efectivas a la hora de
crear ataques fraudulentos de robo de credenciales. Han desarrollado
metodologías muy avanzadas para evitar que los medios técnicos
disponibles impidan su difusión. Tienen la capacidad de crear múltiples
y únicas URL para cada ataque, muy complejas (es una de sus señas de
identidad) que limitan de forma muy eficaz la labor de las barras
antiphishing basadas en listas negras. ¿Qué gana este grupo tomando como
objetivo MySpace? ¿Qué beneficio les reporta? Las teorías son varias.

La primera es obvia, muchos usuarios utilizan la misma contraseña para
varios servicios. También, el obtener contraseñas de perfiles “privados”
les permite acceso a información “sensible” de usuarios (fecha y lugar
de nacimiento, por ejemplo) para realizar ataques más específicos y
selectivos en el futuro.

Otras teorías son más interesantes. En la página del perfil del usuario
al que se le ha robado la contraseña, es trivial introducir código CSS
en algunos campos. Al ser interpretado en el navegador, cuando alguien
que visite la página haga click en un campo, será redirigido a alguna
web donde intentará ser infectado por malware o engañado de alguna
forma. Este problema se ha vuelto tan común, que MySpace ha desarrollado
un script para limpiar este tipo de enlaces fraudulentos. Pero parece
que se han olvidado de limpiar ciertos campos, y todavía es posible
inyectarlos en algunos otros.

Otra teoría que revaloriza las credenciales de MySpace, es el uso de
las páginas de perfiles robados para de alguna forma, hacer aparecer
ventanas emergentes a quien las visite. Se han observado en los últimos
días en muchos perfiles un popup muy conseguido que simula ser la
ventana de administración de actualizaciones de Windows. Si el usuario
acepta la supuesta “actualización”, se descargará un programa. Una
vez ejecutado en el equipo, simulará un icono en la barra de tareas e
intentará descargar ficheros que un falso escaneo antispyware de la
máquina intentará solucionar. Una forma rebuscada (descargando ficheros
supuestamente infectados) de que el usuario instale el spyware.

MySpace, se convierte así en un vector de ataque muy utilizado como
objetivo de phishers para realizar posteriormente estafas más
sofisticadas o directas. A medida que la banca actúe, contratando
servicios antiphishing o antitroyanos y se dificulte la labor de los que
intentan robar sus credenciales, es “natural” que la industria del
malware migre hacia otras páginas en principio menos “protegidas”, que
todavía no han implementado medidas suficientes para paliar de forma
eficaz el robo de contraseñas.