Los investigadores de Guardio Labs han señalado en su informe un preocupante aumento en la "democratización" del ecosistema de phishing, centrado en el uso de Telegram como epicentro del cibercrimen. Este servicio de mensajería se ha transformado en un "paraíso para estafadores", facilitando la creación y distribución de campañas maliciosas a gran escala por tan solo 230 dólares.
Uso de Telegram en campañas maliciosas
Telegram es una plataforma de mensajería instantánea usada por una amplia variedad de usuarios en todo el mundo debido a sus características y funcionalidades, pero lamentablemente también es usada por quienes quieren hacer daño, es así como ha evolucionado para convertirse en un perfecto centro donde tanto ciberdelincuentes experimentados como novatos intercambian herramientas e ideas ilícitas. La plataforma sirve como una cadena de suministro similar a las redes oscuras, pero más accesible a todo público, proporcionando muestras gratuitas, tutoriales, kits y hasta ciberactores especialmente contratados para construir campañas maliciosas de phishing o malware ajustadas a un objetivo específico.
Ilustración 1: Canal de Telegram ofreciendo curso para estafadores
Fuente: Telegram
Proceso de campañas maliciosas
Los componentes esenciales para construir campañas de phishing se pueden adquirir fácilmente en Telegram a precios bajos o incluso gratuitos. Telegram aloja robots maliciosos como Telekopye, capaz de crear páginas web, correos electrónicos y mensajes SMS fraudulentos para facilitar estafas de phishing a gran escala. Los correos de puerta trasera, disponibles en grupos de Telegram, utilizan scripts PHP inyectados en sitios web legítimos para enviar correos electrónicos convincentes, evitando las barreras de seguridad como los filtros de anti-spam.
Ilustración 2: Cadena de ataque phishing utilizando Telegram
Fuente: Guardio Labs
El negocio del Phishing
Para los ciberactores es el negocio perfecto en donde con una pequeña inversión, pueden llegar a multiplicar por 10 o más sus ganancias, a continuación se demuestra una simulación de los pasos a seguir:
Inicialmente se hacen de correos electrónicos que pueden conseguir fácilmente en mercados clandestinos como la DDW (Deep Dark Web), o en la misma plataforma de Telegram, para esta simulación se utilizarán 100.000 correos electrónicos dirigidos a clientes del BOA (Bank Of America) indicando una operación amplia y dirigida a los clientes de una institución financiera importante. Esta elección estratégica sugiere que los perpetradores buscan maximizar sus oportunidades de obtener información valiosa de sus potenciales víctimas.
A continuación, se efectúa una valoración de las cuentas bancarias sustraídas (víctimas que cayeron en el engaño de phishing), la estrategia consiste en categorizar las cuentas según su saldo y establecer precios de venta diferenciados destaca la sofisticación de estas operaciones. La venta de cuentas con saldos superiores a $10.000 USD es vendida en 200 USD (x5) y las de menor saldo se venden por $30 USD (x45), la diversificación de la monetización en relación a la información robada, permite que los ciberactores detrás de estas campañas pueden obtener un retorno de inversión 10 veces mayor, subrayando la naturaleza lucrativa de estas actividades criminales. Es fundamental comprender que este tipo de rentabilidad solo incentiva a los delincuentes a continuar y expandir sus operaciones, aumentando así la amenaza para la seguridad financiera y la privacidad de los individuos.
Ilustración 3: Flujo de monetización de campañas de Phishing
Fuente: Guardio Labs
Esta simulación subraya la importancia de reforzar las medidas de seguridad cibernética tanto a nivel empresarial como individual. Las instituciones financieras, como el BOA, deben fortalecer sus protocolos de seguridad para proteger la información de los clientes. Los usuarios, a su vez, deben ser conscientes de las amenazas potenciales y adoptar prácticas de seguridad cibernética sólidas.
Desde la DDW a la Surface
La transformación significativa de los mercados ilícitos, pasando de foros ocultos en la DarkNet a canales públicos en plataformas convencionales con miles de usuarios.
En estos entornos, los ciberactores han adoptado prácticas comerciales tradicionales, como ofrecer "muestras gratuitas", "atención al cliente" y "garantías de devolución de dinero", indicando el surgimiento de una industria con considerables intereses financieros.
El bajo costo de entrada facilita que cualquier individuo, incluso sin experiencia previa o conexiones criminales, inicie operaciones de phishing importantes. Estas campañas, de manera preocupante, logran eludir detecciones avanzadas y medidas de seguridad como la autenticación multifactor (MFA), subrayando la vulnerabilidad de las protecciones en las que confiamos.
Apreciación
Telegram está siendo utilizado maliciosamente y ha proporcionado una plataforma accesible para ciberdelincuentes aspirantes e inexpertos, ampliando el alcance del cibercrimen. Los propietarios de sitios web también son responsables de salvaguardar sus plataformas contra el uso malicioso, ya que los ciberdelincuentes aprovechan sitios web comprometidos para alojar campañas de phishing. La disponibilidad de plantillas para realizar estas campañas maliciosas aumenta la autenticidad de los mensajes de correo electrónico fraudulentos, mientras que Telegram alberga conjuntos de datos masivos para dirigir ataques específicos, maximizando la efectividad de las campañas.
La democratización del cibercrimen a través de Telegram representa una amenaza seria para la seguridad cibernética. La facilidad de acceso a herramientas, tutoriales y datos de víctimas ha nivelado el terreno de juego, permitiendo a cualquier persona, independientemente de sus conocimientos previos, iniciar operaciones de phishing importantes con una inversión mínima.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
. | . |