Phishing as a Service: Kits para robar dinero y datos a empresas

Las plataformas de Phishing as a Service facilitan toda la infraestructura para lanzar campañas de ingeniería social contra empresas y ciudadanos

No solo los ataques de malware o de denegación de servicio se pueden paquetizar. Las plataformas de Phishing as a Service que operan en la Dark Web ofrecen ataques de ingeniería social integrales para que miles de actores maliciosos sin los conocimientos y los recursos necesarios puedan lanzar campañas de phishing contra los clientes de bancos, plataformas de pagos, compañías tecnológicas o empresas del sector retail.

A finales de febrero de 2024, se hizo público que LabHost, una plataforma de Phishing as a Service con un largo historial delictivo a sus espaldas, permitió lanzar múltiples ataques contra clientes de bancos de Canadá y Estados Unidos para engañarlos y conseguir las credenciales para acceder a sus cuentas online. Los actores maliciosos podían escoger entre tres tipos de tarifas que incluían funcionalidades diferentes y permitían atacar a entidades bancarias distintas.

Este caso solo es la última muestra de un modelo delictivo en auge que, prácticamente, automatiza ataques de ingeniería social bastante sofisticados para atacar a empresas, profesionales y ciudadanos y sustraerles dinero y/o información.

1. ¿En qué consiste exactamente el Phishing as a Service?

Un grupo de delincuentes diseña una infraestructura tecnológica para comercializar kits o suscripciones a su programa de afiliados que permiten poner en marcha campañas de phishing de manera prácticamente automática.

De tal manera que cualquier persona que adquiera un kit o esté suscrito al programa de afiliados puede lanzar un ataque en un par de clics, sin tener que:

• Saber de programación para crear páginas de phishing.
• Disponer de conocimientos sobre ingeniería social.
• Contar con servidores propios para alojar los dominios maliciosos.
• Tener herramientas para monitorear la evolución de un ataque.
• Ser capaz de superar los sistemas de doble autenticación para acceder a cuentas de entidades bancarias, plataformas o, paradójicamente, Software as a Service.

A cambio, los grupos delictivos obtienen cuantiosas ganancias económicas monetizando con facilidad y de manera continua las técnicas, tácticas y procedimientos que han desarrollado e implementado.

Para ello, comercializan sus servicios no solo a través de la Dark Web, sino también en foros accesibles desde el internet de uso común o grupos en aplicaciones como Telegram.

De hecho, estos grupos delictivos diseñan e implementan una estrategia de marketing agresiva para captar clientes, lo que incluye, incluso, poner en marcha promociones especiales por el Black Friday, un momento del año clave para realizar ciberataques contra los e-commerce y sus clientes.

Los datos hablan por sí solos. 16shop, una plataforma de Phishing as a Service desarticulada recientemente por la Interpol llegó a tener 70.000 clientes de más de cuarenta países.

2. ¿Qué incluyen los kits del Phishing as a Service?

Uno de los aspectos más curiosos de las plataformas de Phishing as a Service es que ofrecen paquetes para realizar ataques contra empresas concretas. Por ejemplo, 16shop comercializaba kits para suplantar la identidad de Apple, Amazon, PayPal, American Express o Cash App. Cada kit tenía un precio diferente, en función de las potenciales ganancias de un ataque. Así, el kit para atacar a clientes de American Express valía el doble que el de Amazon. ¿Qué incluyen los paquetes?

• Páginas de phishing que imitan la estética de las webs reales para hacer login y acceder a una cuenta privada. Por ejemplo, la cuenta bancaria online de un ciudadano o una empresa. En el caso de 16shop, se llegaron a crear más de 150.000 dominios.
• Servidores propios para alojar las webs.
• El email o el número de teléfono de las víctimas potenciales. A los que se ha podido acceder a través de ataques previos, por ejemplo, mediante campañas de ransomware.
• Plantillas con mensajes para que los correos electrónicos estén bien redactados, tengan una apariencia estética coherente con las comunicaciones de las compañías cuya identidad es suplantada y resulten creíbles.
• Un panel para monitorear en tiempo real la progresión de una campaña de phishing.
• Una vez completado el ataque con éxito, los actores maliciosos que han contratado el Phishing as a Service reciben las credenciales para poder acceder a las cuentas de los usuarios que han caído en la trampa y, así, poder realizar fraudes económicos o visualizar toda clase de información.

3. Targets y objetivos de los delincuentes que recurren al Phishing as a Service

Los actores maliciosos que ponen en marcha campañas de ingeniería social recurriendo al Phishing as a Service impactan en tres grandes actores:

• Las víctimas directas de los ataques que facilitan sus credenciales exponiéndose a fraudes económicos, robo o secuestro de información, exfiltración de datos, etc.
• Las compañías cuya identidad es suplantada y cuyos clientes entregan, sin saberlo, sus contraseñas para acceder a sus cuentas personales o corporativas.
• Las empresas para las que trabajan los profesionales que facilitan credenciales de acceso a cuentas y servicios corporativos. Por ejemplo, en los fraudes contra el sector turístico, los actores maliciosos buscan las credenciales de acceso a plataformas de reservas hoteleras de los trabajadores de hoteles y agencias de viajes para realizar fraudes contra sus clientes.

¿Cuáles son los objetivos de los delincuentes que contratan paquetes de Phishing as a Service?

1. Obtener ganancias económicas directas accediendo a las cuentas bancarias de ciudadanos y empresas.
2. Conseguir información confidencial sobre particulares y negocios para:
   1. Extorsionarlos.
   2. Filtrarla y dañar la reputación de una empresa o una persona.
   3. Usarla para llevar a cabo ciberataques más complejos contra las empresas.
   4. Emplear datos financieros y personales para suplantar la identidad de personas y obtener crédito en su nombre.
   5. Vender información crítica a la competencia de la empresa atacada. Por ejemplo, documentos relacionados con propiedad intelectual.
   6. Comercializarla a través de la Dark Web para que otros actores maliciosos realicen nuevos ataques.
   7. Dañar la reputación de las compañías propietarias de los servicios y aplicaciones Cloud a los que acceden los delincuentes de manera ilegítima.

4. Bancos, Fintech, criptomonedas: Cazar al poderoso caballero Don Dinero

El reciente caso de LabHost nos permite comprobar, de nuevo, que el sector financiero se halla en la diana de los delincuentes en general y de aquellos que emplean las técnicas de ingeniería social en particular.

Por eso, no debe sorprendernos que la mayoría de plataformas de Phishing as a Service ofrezcan paquetes para realizar ataques contra clientes de los bancos, usuarios de plataformas de pago como PayPal e inversores en criptomonedas.

Al fin y al cabo, muchos actores maliciosos no desean ejecutar ataques más complejos y ambiciosos, sino que su meta es conseguir dinero en el menor tiempo posible y esto pasa por el acceso a cuentas económicas o carteras de criptos.

5. Ninguna empresa está a salvo del Phishing as a Service

Aunque el grupo de delincuentes detrás de LabHost está especializado en el sector financiero, también dispone datos, plantillas de mensajes y páginas web falsas para suplantar a compañías de otros sectores, como la plataforma de streaming musical Spotify o la empresa de paquetería DHL. Mientras que 16shop, como ya señalamos antes, ofrecía paquetes para acceder a cuentas de Apple o Amazon.

Esto nos permite observar que no solo las entidades bancarias o las plataformas de pagos están en el punto de mira del Phishing as a Service, sino que grandes compañías tecnológicas también pueden verse afectadas por la generalización de los ataques de ingeniería social.

Precisamente, otra multinacional tecnológica para la que se han diseñado kits específicos es Microsoft. O, más concretamente, su Software as a Service, Microsoft 365, empleado por miles de empresas en todo el mundo como entorno de trabajo diario.

La plataforma de Phishing as a Service Greatness, paquetizó ataques de phishing para que los actores maliciosos pudiesen acceder a las cuentas profesionales de Microsoft 365. De esta manera, podrían consultar información crítica del ámbito empresarial: correos, documentos internos, listados de clientes, información estratégica, archivos relacionados con propiedad intelectual o industrial…

Así, mediante Greatness, delincuentes con conocimientos básicos podían lanzar ataques para sustraer información crítica de empresas de múltiples sectores (sanidad, manufacturas, tecnológicas…).

6. Una vuelta de tuerca: Subvertir la autenticación multifactor

En los últimos años, miles de compañías han implementado la autenticación multifactor para proteger el acceso a sus plataformas y servicios Cloud. Esta medida de seguridad busca dificultar que los ataques de ingeniería social tengan éxito, ya que no basta con que los actores maliciosos obtengan el usuario y la contraseña de sus víctimas. Si el doble factor de autenticación está activado, se necesitará, también, otro elemento. Por ejemplo, un código que se recibe en el móvil a través de una aplicación o un sms.

Pues bien, las plataformas de Phishing as a Service tienen en cuenta el doble factor de autenticación y son capaces de subvertir esta barrera de seguridad. ¿Cómo? Recurriendo a la técnica adversary-in-the-middle y al uso de proxys.

6.1. Desarrollos tecnológicos complejos para superar las barreras defensivas

Esto fue lo que hicieron los delincuentes detrás de LabHost, pero también el grupo que puso en marcha Robin Banks, una plataforma de Phishing as a Service centrada en atacar a entidades bancarias como Citibank, Wells Fargo o el Santander.

Además del kit prototípico de un Phishing as a Service, Robin Banks comercializaba un proxy inverso para realizar ataques adversary-in-the-middle. Gracias a esta herramienta se podía establecer una comunicación entre la víctima y el servidor de la web real que se estaba suplantando. Así, se rebotaban las solicitudes de inicio de sesión y Robin Banks era capaz de interceptar las cookies de sesión en tránsito. Una vez que se tenían, era posible iniciar sesión de manera fraudulenta.

De manera similar operaba Greatness en los casos en que estaba activada la doble autenticación. Este servicio criminal contaba con una API y un proxy para llevar a cabo la siguiente operativa:

• La víctima introducía sus credenciales de acceso en una página falsa que simulaba ser la web de login de Microsoft 365.
• Acto seguido, Greatness solicitaba acceder a la web real de Microsoft, de tal manera que la compañía enviaba un código de un solo uso al usuario legítimo.
• Al no percatarse del engaño, la víctima introducía en la web fake el código. De esta manera, Greatness podía acceder al servicio de Microsoft 365.
• Se le enviaban al atacante las credenciales de acceso y las cookies válidas antes de que expirasen para que pudiera acceder a la cuenta.
• Una vez dentro de Microsoft 365, el actor malicioso podía obtener información confidencial de la empresa para la que trabajaba el profesional y recopilar datos para cometer fraudes económicos, extorsiones, realizar futuros ataques o venderlos en la Dark Web.

7. Combatir las técnicas de ingeniería social y los fraudes digitales

¿Qué pueden hacer las empresas para prevenir los ataques que se ejecutan a través de las plataformas de Phishing as a Service? ¿Y para responder ante ellos?

• Las compañías cuya identidad es suplantada y sufren accesos ilegítimos a sus servicios y aplicaciones deben recurrir a servicios de ciberinteligencia especializados en luchar contra el fraude digital y la piratería y poner en marcha contramedidas eficaces para conseguir que las estrategias delictivas no sean eficaces.
• Llevar a cabo Test de ingeniería social para formar y concienciar a los profesionales de las empresas, a la vez que se mide su nivel de preparación ante el aumento de los ataques de phishing y su creciente complejidad, como consecuencia de tendencias como la consolidación de las plataformas de Phishing as a Service.
• Recurrir a servicios de respuesta a incidentes. Todas las empresas deben contar con profesionales capacitados para evaluar un incidente de seguridad, responder de manera inmediata, contener su alcance y expulsar al actor malicioso antes de que cumpla sus objetivos.
• Implementar tecnologías resistentes al Phishing, como sistemas de autenticación multifactor basados en FIDO2.

En definitiva, el modelo de Phishing as a Service abre las puertas a que miles de delincuentes sin conocimientos especializados, ni recursos tecnológicos, puedan llevar a cabo ataques de ingeniería social con un nivel de sofisticación elevado. Esto implica una multiplicación del número de atacantes a los que tienen que hacer frente las empresas y supone un gran reto para las compañías de toda clase de sectores, no solo en el ámbito financiero o tecnológico.