Cómo los atacantes usaron dominios parecidos para robar $ 1 …



El dinero destinado a financiar una startup israelí terminó directamente depositado en los estafadores.

Algunos ataques cibernéticos implican herramientas extremadamente sofisticadas y exploits de vanguardia. Otros, no tanto.

Un caso en cuestión es un incidente que involucra a una empresa china de money de riesgo y una startup israelí que acordó financiar. Casi todo lo que se necesitó para que los estafadores se marcharan con un efectivo de $ 1 millón en efectivo, destinado para el inicio de la empresa de inversión, fueron dos dominios net y 32 correos electrónicos.

Check Place Application, que investigó la estafa en nombre de la firma israelí, describió esta semana que el incidente comenzó con un compromiso del servidor de correo electrónico de la startup israelí. Unos meses antes de que se programara la transacción, los atacantes notaron un hilo de correo electrónico que contenía información sobre un fondo de siembra multimillonario del funds de riesgo chino.

En lugar de simplemente monitorear el hilo y enviarles correos electrónicos, los atacantes registraron dos dominios. Uno de los dominios era comparable al dominio de la compañía de inversión china el otro era una parodia del dominio de la empresa israelí. En ambos casos, los actores de la amenaza simplemente agregaron una «s» al closing del nombre de dominio first.

La siguiente fase de la estafa involucró a los atacantes que enviaron dos correos electrónicos con el mismo encabezado de asunto que el hilo unique del correo electrónico sobre la financiación inicial planificada.

Los atacantes utilizaron el dominio very similar de la firma israelí para enviar un correo electrónico a la firma china de funds de riesgo que parecía ser del CEO de la startup. También utilizaron el dominio identical de la empresa china para enviar un correo electrónico a la empresa israelí que supuestamente provenía de la cuenta de correo electrónico del gerente a cargo de la transacción en la empresa de inversión.

«Esta infraestructura le dio al atacante la capacidad de llevar a cabo el último ataque Person-In-The-Center (MITM)», dijo Check Issue en un Website describiendo el incidente.

Por lo tanto, todas las comunicaciones por correo electrónico que ambas partes llevaron a cabo en respuesta a esos dos correos electrónicos iniciales se enviaban directamente a los atacantes primero. Los actores de la amenaza revisarían cada correo electrónico, realizarían los cambios que sintieran que debían realizar y luego reenviarían los mensajes de los dominios similares al destino initial.

En complete, el atacante envió 14 correos electrónicos al lado israelí y 18 a la firma china de capital de riesgo utilizando los dominios similares. En el transcurso de estas comunicaciones, los atacantes lograron cambiar la información de la cuenta bancaria de la empresa de capital riesgo y reemplazarla por la suya, por lo que cualquier dinero que la empresa de money riesgo enviara a la empresa israelí terminaría con los atacantes.

Estafa descarada
Según Look at Place, los atacantes eran tan descarados que incluso lograron cancelar una reunión programada en Shanghai entre el CEO de la compañía israelí y la firma china de money riesgo. Básicamente enviaron correos electrónicos con diferentes excusas a ambas partes usando los dominios corruptos. El objetivo de frustrar la reunión aparentemente era minimizar el riesgo de que se descubriera el cambio de número de cuenta bancaria.

«Esta operación fue única porque el actor de la amenaza falsificó con éxito ambos lados de la transacción y pudo interrumpir las reuniones físicas entre las partes involucradas», dice Tim Otis, líder del equipo, operaciones de respuesta a incidentes en Test Point.

Tales estafas resaltan la necesidad de que las organizaciones tengan una capacidad para escanear dominios similares, dice Otis. También muestran por qué los mecanismos de protección secundaria, como la confirmación verbal, son necesarios al realizar transacciones de alto valor, dice.

Los dominios similares se han convertido en una táctica cada vez más popular entre los estafadores en línea y aquellos que buscan llevar a cabo esquemas de suplantación de identidad. En muchos casos, los atacantes configuran dominios similares para marcas conocidas y usan los dominios para tratar de engañar a los usuarios para que compartan contraseñas, información de tarjetas de pago y otros datos confidenciales. La tendencia es especialmente notable durante la temporada de compras navideñas.

El vendedor de seguridad Venafi investigó recientemente la explosión de dichos sitios y descubrió más de 100,000 dominios parecidos solo para los 20 principales minoristas de EE. UU., Reino Unido, Francia, Alemania y Australia.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más concepts





Enlace a la noticia first