Pandilla de tarjetas de regalo extrae efectivo de 100k bandejas de entrada diariamente – Krebs on Safety


Algunas de las estafas en línea más exitosas y lucrativas emplean un enfoque «lento y lento», evitando la detección o la interferencia de investigadores y agencias de aplicación de la ley al robar pequeñas cantidades de dinero en efectivo de muchas personas durante un período prolongado. Esta es la historia de un grupo de ciberdelincuencia que compromete hasta 100.000 bandejas de entrada de correo electrónico por día y, aparentemente, hace poco más con este acceso, excepto la tarjeta de regalo de desvío y los datos del programa de fidelización de clientes que se pueden revender en línea.

Los datos de esta historia provienen de una fuente confiable en la industria de la seguridad que tiene visibilidad de una purple de máquinas pirateadas que los estafadores en casi todos los rincones de Web están utilizando para anonimizar su tráfico web malicioso. Durante los últimos tres años, la fuente, lo llamaremos «Invoice» para preservar el anonimato solicitado, ha estado observando a un grupo de actores de amenazas que está probando en masa millones de nombres de usuario y contraseñas con los principales proveedores de correo electrónico del mundo todos los días.

Bill dijo que no está seguro de dónde provienen las contraseñas, pero asume que están vinculadas a varias bases de datos de sitios net comprometidos que se publican en foros de piratería y descifrado de contraseñas de forma normal. Invoice dijo que este grupo delictivo tiene un promedio de entre cinco y diez millones de intentos de autenticación de correo electrónico al día, y obtiene entre 50.000 y 100.000 credenciales de la bandeja de entrada que funcionan.

En aproximadamente la mitad de los casos, las credenciales se verifican a través de «IMAP, «Que es un estándar de correo electrónico utilizado por clientes de program de correo electrónico como Mozilla Thunderbird y Microsoft Outlook. Con su visibilidad de la purple proxy, Monthly bill puede ver si un intento de autenticación tiene éxito o no en función de la respuesta de la red del proveedor de correo electrónico (por ejemplo, el servidor de correo responde «Ok» = acceso exitoso).

Podría pensar que quienquiera que esté detrás de una máquina delictiva tan extensa usaría su acceso para lanzar spam o realizar ataques de phishing dirigidos contra los contactos de cada víctima. Pero según las interacciones que Bill ha tenido con varios grandes proveedores de correo electrónico hasta ahora, esta banda prison simplemente usa scripts personalizados y automatizados que periódicamente inician sesión y buscan en cada bandeja de entrada artículos digitales de valor que puedan revenderse fácilmente.

Y parecen estar particularmente enfocados en robar datos de tarjetas de regalo.

«A veces, inician sesión hasta dos o tres veces por semana durante meses a la vez», dijo Invoice. “Estos tipos están buscando frutas fáciles de conseguir, básicamente dinero en efectivo en su bandeja de entrada. Ya sea que esté relacionado con recompensas de hoteles o aerolíneas o simplemente con tarjetas de regalo de Amazon, después de iniciar sesión con éxito en la cuenta, sus scripts comienzan a robar las bandejas de entrada en busca de cosas que podrían ser de valor «.

Una muestra de algunas de las consultas de búsqueda más frecuentes realizadas en un solo día por el grupo de tarjetas de regalo contra más de 50.000 bandejas de entrada pirateadas.

Según Invoice, los estafadores no están descargando todos los correos electrónicos de sus víctimas: eso rápidamente sumaría una monstruosa cantidad de datos. Por el contrario, utilizan sistemas automatizados para iniciar sesión en cada bandeja de entrada y buscar una variedad de dominios y otros términos relacionados con empresas que mantienen programas de lealtad y puntos, y / o emiten tarjetas de regalo y gestionan su cumplimiento.

¿Por qué buscar recompensas de hoteles o aerolíneas? Porque todas estas cuentas se pueden limpiar y depositar en un número de tarjeta de regalo que se puede revender rápidamente en línea por el 80 por ciento de su valor.

«Estos tipos quieren ese activo electronic duro: el dinero en efectivo que está ahí en su bandeja de entrada», dijo Invoice. «Literalmente, simplemente extrae dinero en efectivo de las bandejas de entrada de las personas, y luego tiene todos estos mercados secundarios donde puede vender estas cosas».

Los datos de Monthly bill también muestran que esta pandilla persigue tan agresivamente los datos de las tarjetas de regalo que habitualmente buscará nuevos beneficios de tarjetas de regalo en nombre de las víctimas, cuando esa opción esté disponible. Por ejemplo, muchas empresas ahora ofrecen a los empleados un «beneficio de bienestar» si pueden demostrar que se mantienen al día con algún tipo de hábito nuevo y saludable, como las visitas diarias al gimnasio, el yoga o dejar de fumar.

Invoice dijo que estos delincuentes también han descubierto una manera de aprovechar esos beneficios.

“Varias compañías de seguros de salud tienen programas de bienestar para alentar a los empleados a hacer más ejercicio, donde si te registras y te comprometes a hacer 30 flexiones al día durante los próximos meses o algo así, obtendrás cinco puntos de bienestar para un regalo de Starbucks de $ 10 tarjeta, que requiere 1000 puntos de bienestar ”, explicó Invoice. «En realidad, están automatizando el proceso de responder diciendo que completó esta actividad para que puedan aumentar su saldo de puntos y obtener su tarjeta de regalo».

La huella de la banda de las tarjetas de regalo

¿Cómo se desglosan las credenciales de correo electrónico comprometidas en términos de ISP y proveedores de correo electrónico? Hay víctimas en casi todas las principales redes de correo electrónico, pero Bill dijo que varios grandes proveedores de servicios de Web (ISP) en Alemania y Francia están fuertemente representados en los datos de las cuentas de correo electrónico comprometidas.

«Con algunos de estos proveedores internacionales de correo electrónico, estamos viendo que entre 25.000 y 50.000 cuentas de correo electrónico al día son pirateadas», dijo Bill. «No sé por qué se están haciendo estallar con tanta fuerza».

Eso puede parecer un montón de bandejas de entrada pirateadas, pero Invoice dijo que algunos de los ISP más grandes representados en sus datos tienen decenas o cientos de millones de clientes.

Medir qué ISP y proveedores de correo electrónico tienen la mayor cantidad de clientes comprometidos no es tan very simple en muchos casos, ni tampoco lo es identificar empresas con empleados cuyas cuentas de correo electrónico hayan sido pirateadas.

Este tipo de mapeo suele ser más difícil de lo que solía ser porque muchas organizaciones ahora han subcontratado su correo electrónico a servicios en la nube como Gmail y Microsoft Office environment365 – donde los usuarios pueden acceder a su correo electrónico, archivos y registros de chat, todo en un solo lugar.

«Es un poco complicado con Business office 365 porque una cosa es decir, está bien, cuántas conexiones de Hotmail ves por día en toda esta actividad de relleno de credenciales, y puedes ver las pruebas en el sitio de Hotmail», dijo Monthly bill. «Pero con el tráfico IMAP que estamos analizando, los nombres de usuario en los que se inicia sesión son cualquiera de los millones de dominios alojados en Office365, muchos de los cuales le dirán muy poco sobre la organización víctima en sí».

Además de eso, también es difícil saber cuánta actividad estás no viendo.

Al observar el pequeño conjunto de bloques de direcciones de World wide web que sabe que están asociados con la infraestructura de correo electrónico de Microsoft 365, Bill examinó el tráfico IMAP que fluye de este grupo a esos bloques. Monthly bill dijo eso En la primera semana de abril de 2021, identificó 15.000 cuentas de Business365 comprometidas a las que accede este grupo, distribuidas en 6.500 organizaciones diferentes que utilizan Business office365.

«Así que veo este tráfico como 10 bloques netos vinculados a Microsoft, lo que significa que solo estoy mirando quizás el 25 por ciento de la infraestructura de Microsoft», explicó Bill. “Y con nuestra escasa visibilidad de probablemente menos del uno por ciento del tráfico full de relleno de contraseñas dirigido a Microsoft, estamos viendo que se vulneran 600 cuentas de Office environment al día. Entonces, si solo veo un uno por ciento, eso significa que probablemente estemos hablando de decenas de miles de cuentas de Workplace365 comprometidas diariamente en todo el mundo «.

En una publicación de web site de diciembre de 2020 sobre cómo Microsoft se está alejando de las contraseñas hacia enfoques de autenticación más sólidos, dijo el gigante del software un promedio de una de cada 250 cuentas corporativas se ve comprometida cada mes. El año pasado, Microsoft tenía casi 240 millones de usuarios activos, según este análisis.

«Para mí, esta es una historia importante porque durante años la gente ha estado como, sí, sabemos que el correo electrónico no es muy seguro, pero esta declaración genérica no tiene nada que ver con eso», dijo Invoice. «No creo que nadie haya podido llamar la atención sobre los números que muestran por qué el correo electrónico es tan inseguro».

Bill dice que, en typical, las empresas tienen muchas más herramientas disponibles para proteger y analizar el tráfico de correo electrónico de los empleados cuando ese acceso se canaliza a través de una página world-wide-web o VPN, en lugar de cuando ese acceso ocurre a través de IMAP.

«Es más difícil pasar a través de la interfaz website porque en un sitio website tienes una gran cantidad de controles de autenticación avanzados al alcance de tu mano, que incluyen cosas como huellas dactilares del dispositivo, escaneo de anomalías en el encabezado http, and many others.», dijo Bill. «Pero, ¿cuáles son las firmas de detección que tiene disponibles para detectar inicios de sesión maliciosos a través de IMAP?»

Microsoft se negó a comentar específicamente sobre la investigación de Invoice, pero dijo que los clientes pueden bloquear la inmensa mayoría de los esfuerzos de adquisición de cuentas habilitando la autenticación multifactor.

«Para el contexto, nuestra investigación indica que la autenticación de múltiples factores previene más del 99,9% de los compromisos de la cuenta», se lee en un comunicado de Microsoft. “Además, para los clientes empresariales, innovaciones como Protection Defaults, que deshabilita la autenticación básica y requiere que los usuarios inscriban un segundo aspect, ya han reducido significativamente la proporción de cuentas comprometidas. Además, para las cuentas de consumidores, se requiere agregar un segundo factor de autenticación en todas las cuentas «.

Un lío que probablemente se quede así

Bill dijo que se siente frustrado por tener tanta visibilidad de esta botnet de prueba de credenciales sin poder hacer mucho al respecto. Ha compartido sus datos con algunos de los ISP más grandes de Europa, pero dice que meses después sigue viendo que el grupo de tarjetas de regalo accede a esas mismas bandejas de entrada.

El problema, dice Invoice, es que muchos ISP grandes carecen de algún tipo de conocimiento básico o datos útiles sobre los clientes que acceden a su correo electrónico a través de IMAP. Es decir, carecen de cualquier tipo de instrumentación para poder diferenciar entre inicios de sesión legítimos y sospechosos para sus clientes que leen sus mensajes utilizando un cliente de correo electrónico.

«Supongo que en muchos casos los servidores IMAP de forma predeterminada no registran todas las solicitudes de búsqueda, por lo que (el ISP) no puede volver atrás y ver que esto sucede», dijo Invoice.

Para confundir el desafío, no hay muchas ventajas para los ISP interesados ​​en monitorear voluntariamente su tráfico IMAP en busca de cuentas pirateadas.

«Supongamos que es un ISP que si tiene la instrumentación para encontrar esta actividad y acaba de identificar a 10.000 de sus clientes que han sido pirateados. Pero también sabe que están accediendo a su correo electrónico exclusivamente a través de un cliente de correo electrónico. ¿A qué te dedicas? No puede marcar su cuenta para un restablecimiento de contraseña, porque no hay ningún mecanismo en el cliente de correo electrónico para afectar un cambio de contraseña «.

Lo que significa que esos 10,000 clientes comenzarán a recibir mensajes de mistake cada vez que intenten acceder a su correo electrónico.

“Es probable que esos clientes se enojen mucho y llamen al ISP como el infierno”, dijo Monthly bill. “Y esa persona de servicio al cliente tendrá que dedicar mucho tiempo a explicar cómo utilizar el servicio de correo world-wide-web. Como resultado, muy pocos ISP van a hacer algo al respecto «.

Indicadores de compromiso (IoC)

No es frecuente que KrebsOnSecurity tenga ocasión de publicar los llamados «indicadores de compromiso» (IoC), pero es de esperar que algunos ISP encuentren útil la información aquí. Este grupo automatiza la búsqueda de bandejas de entrada para dominios específicos y marcas comerciales asociadas con la actividad de tarjetas de regalo y otras cuentas con valor electrónico almacenado, como puntos de recompensa y programas de millas.

Este archivo incluye los principales términos de búsqueda de la bandeja de entrada utilizados en un solo período de 24 horas por la pandilla de tarjetas de regalo. Los números de la izquierda en la hoja de cálculo representan la cantidad de veces durante ese período de 24 horas en que la pandilla de tarjetas de regalo realizó una búsqueda de ese término en una bandeja de entrada comprometida.

Algunos de los términos de búsqueda se centran en marcas específicas, como Amazonas tarjetas de regalo o Hilton Honors puntos otros son para las principales redes de tarjetas de regalo, como CashStar, que emite tarjetas con etiquetas blancas de decenas de marcas como Objetivo y Nordstrom. Las bandejas de entrada pirateadas por esta pandilla probablemente se buscarán en muchos de estos términos en el lapso de unos pocos días.



Enlace a la noticia primary