Telegram, el epicentro de campañas masivas de phishing y ciberdelincuencia

Los investigadores de Guardio Labs han señalado en su informe un preocupante aumento en la "democratización" del ecosistema de phishing, centrado en el uso de Telegram como epicentro del cibercrimen. Este servicio de mensajería se ha transformado en un "paraíso para estafadores", facilitando la creación y distribución de campañas maliciosas a gran escala por tan solo 230 dólares.

Uso de Telegram en campañas maliciosas

Telegram es una plataforma de mensajería instantánea usada por una amplia variedad de usuarios en todo el mundo debido a sus características y funcionalidades, pero lamentablemente también es usada por quienes quieren hacer daño, es así como ha evolucionado para convertirse en un perfecto centro donde tanto ciberdelincuentes experimentados como novatos intercambian herramientas e ideas ilícitas. La plataforma sirve como una cadena de suministro similar a las redes oscuras, pero más accesible a todo público, proporcionando muestras gratuitas, tutoriales, kits y hasta ciberactores especialmente contratados para construir campañas maliciosas de phishing o malware ajustadas a un objetivo específico.

Ilustración 1: Canal de Telegram ofreciendo curso para estafadores
Fuente: Telegram

Proceso de campañas maliciosas

Los componentes esenciales para construir campañas de phishing se pueden adquirir fácilmente en Telegram a precios bajos o incluso gratuitos. Telegram aloja robots maliciosos como Telekopye, capaz de crear páginas web, correos electrónicos y mensajes SMS fraudulentos para facilitar estafas de phishing a gran escala. Los correos de puerta trasera, disponibles en grupos de Telegram, utilizan scripts PHP inyectados en sitios web legítimos para enviar correos electrónicos convincentes, evitando las barreras de seguridad como los filtros de anti-spam.

Ilustración 2: Cadena de ataque phishing utilizando Telegram
Fuente: Guardio Labs

El negocio del Phishing

Para los ciberactores es el negocio perfecto en donde con una pequeña inversión, pueden llegar a multiplicar por 10 o más sus ganancias, a continuación se demuestra una simulación de los pasos a seguir:

Inicialmente se hacen de correos electrónicos que pueden conseguir fácilmente en mercados clandestinos como la DDW (Deep Dark Web), o en la misma plataforma de Telegram, para esta simulación se utilizarán 100.000 correos electrónicos dirigidos a clientes del BOA (Bank Of America) indicando una operación amplia y dirigida a los clientes de una institución financiera importante. Esta elección estratégica sugiere que los perpetradores buscan maximizar sus oportunidades de obtener información valiosa de sus potenciales víctimas.

A continuación, se efectúa una valoración de las cuentas bancarias sustraídas (víctimas que cayeron en el engaño de phishing), la estrategia consiste en categorizar las cuentas según su saldo y establecer precios de venta diferenciados destaca la sofisticación de estas operaciones. La venta de cuentas con saldos superiores a $10.000 USD es vendida en 200 USD (x5)  y las de menor saldo se venden por $30 USD (x45), la diversificación de la monetización en relación a la información robada, permite que los ciberactores detrás de estas campañas pueden obtener un retorno de inversión 10 veces mayor, subrayando la naturaleza lucrativa de estas actividades criminales. Es fundamental comprender que este tipo de rentabilidad solo incentiva a los delincuentes a continuar y expandir sus operaciones, aumentando así la amenaza para la seguridad financiera y la privacidad de los individuos.

Ilustración 3: Flujo de monetización de campañas de Phishing
Fuente: Guardio Labs

Esta simulación subraya la importancia de reforzar las medidas de seguridad cibernética tanto a nivel empresarial como individual. Las instituciones financieras, como el BOA, deben fortalecer sus protocolos de seguridad para proteger la información de los clientes. Los usuarios, a su vez, deben ser conscientes de las amenazas potenciales y adoptar prácticas de seguridad cibernética sólidas.

Desde la DDW a la Surface

La transformación significativa de los mercados ilícitos, pasando de foros ocultos en la DarkNet a canales públicos en plataformas convencionales con miles de usuarios. 

En estos entornos, los ciberactores han adoptado prácticas comerciales tradicionales, como ofrecer "muestras gratuitas", "atención al cliente" y "garantías de devolución de dinero", indicando el surgimiento de una industria con considerables intereses financieros.

El bajo costo de entrada facilita que cualquier individuo, incluso sin experiencia previa o conexiones criminales, inicie operaciones de phishing importantes. Estas campañas, de manera preocupante, logran eludir detecciones avanzadas y medidas de seguridad como la autenticación multifactor (MFA), subrayando la vulnerabilidad de las protecciones en las que confiamos.

Apreciación

Telegram está siendo utilizado maliciosamente y ha proporcionado una plataforma accesible para ciberdelincuentes aspirantes e inexpertos, ampliando el alcance del cibercrimen. Los propietarios de sitios web también son responsables de salvaguardar sus plataformas contra el uso malicioso, ya que los ciberdelincuentes aprovechan sitios web comprometidos para alojar campañas de phishing. La disponibilidad de plantillas para realizar estas campañas maliciosas aumenta la autenticidad de los mensajes de correo electrónico fraudulentos, mientras que Telegram alberga conjuntos de datos masivos para dirigir ataques específicos, maximizando la efectividad de las campañas.

La democratización del cibercrimen a través de Telegram representa una amenaza seria para la seguridad cibernética. La facilidad de acceso a herramientas, tutoriales y datos de víctimas ha nivelado el terreno de juego, permitiendo a cualquier persona, independientemente de sus conocimientos previos, iniciar operaciones de phishing importantes con una inversión mínima.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Verifica cuidadosamente los correos electrónicos, especialmente si contienen enlaces o solicitan información confidencial. Examina la dirección de correo del remitente y busca señales de redacción inusual o errores gramaticales.
• Evita hacer clic en enlaces sospechosos. En lugar de hacer clic directamente, pasa el cursor sobre el enlace para ver la URL real antes de acceder.
• Habilita la autenticación multifactor siempre que sea posible. Esto proporciona una capa adicional de seguridad al requerir un segundo método de verificación, como un código enviado a tu teléfono.
• Utiliza navegadores web seguros que adviertan sobre sitios web potencialmente peligrosos. Estos navegadores pueden proporcionar una capa adicional de protección contra sitios de phishing.
• Verifica que estás en un sitio web legítimo antes de proporcionar información sensible. Asegúrate de que la conexión sea segura (https://) y verifica la autenticidad del sitio antes de ingresar datos.
• Mantén tu sistema operativo, navegadores y aplicaciones actualizados. Las actualizaciones a menudo incluyen parches de seguridad que corrigen vulnerabilidades conocidas.
• Desconfía de mensajes que crean urgencia o miedo para que tomes medidas rápidas. Los atacantes a menudo utilizan tácticas de urgencia para manipular a las personas y obtener información rápidamente.
• Mantente informado sobre las últimas tácticas de phishing y comparte esta información con tus colegas y seres queridos. La educación continua es fundamental para la prevención.
• Instala y utiliza software de seguridad, como antivirus y antimalware, para proteger tu dispositivo contra amenazas en línea.
• Nunca compartas información confidencial, como contraseñas o datos bancarios, a través de correos electrónicos o mensajes no solicitados. Las instituciones legítimas no solicitan información sensible de esta manera.
• Configura y utiliza filtros antiphishing en tu correo electrónico y navegador para ayudar a detectar y bloquear posibles amenazas.