• Team Inntesec

馃啒 Ataque de Ice Phishing en Blockchain

Las tecnolog铆as que nos conectan avanzan continuamente y, si bien esto brinda enormes y nuevas capacidades a los usuarios, tambi茅n abre nuevas superficies de ataque para los Malos Actores. La ingenier铆a social representa una clase de amenazas que se ha extendido a pr谩cticamente todas las tecnolog铆as que permiten la conexi贸n humana.




Investigaci贸n de Microsoft sobre un Ataque de Ice Phishing


Una reciente investigaci贸n de Microsoft demuestra un ataque de phishing conectado a blockchain reafirma la durabilidad de estas amenazas, as铆 como la necesidad de que los fundamentos de seguridad se integren en futuros sistemas y marcos relacionados.


El Phishing de Credenciales persigue a las empresas y usuarios d铆a tras d铆a en el mundo web2, que es la versi贸n de Internet con la que la mayor铆a de nosotros estamos familiarizados y usamos hoy en d铆a. Es un negocio rentable para los Malos Actores (ciberdelincuentes), incluso si los m谩rgenes son reducidos y existe un riesgo significativo asociado con la monetizaci贸n de las credenciales de una empresa (por ejemplo, a trav茅s de ataques de ransomware operados por humanos ). Ahora, imagine si un atacante puede, por s铆 solo, tomar una gran parte de la capitalizaci贸n de mercado de criptomonedas de casi 2,2 billones de d贸lares estadounidenses y hacerlo con un anonimato casi total. Esto cambia la din谩mica del juego y es exactamente lo que sucede en el mundo web3 varias veces al mes.


Funcionamiento de la Tecnolog铆a W3 y el Ataque Badger DAO

Web3 es el mundo descentralizado que se construye sobre la seguridad criptogr谩fica que sienta las bases del blockchain (en contraste, web2 es el mundo m谩s centralizado). En web3, los fondos que tiene en su billetera sin custodia est谩n protegidos por la clave privada que solo usted conoce. Los contratos inteligentes con los que interact煤a son inmutables, a menudo de c贸digo abierto y auditados. 驴C贸mo ocurren los ataques de phishing con una base tan segura? Esto es lo que exploraremos en esta investigaci贸n.


Compartiremos algunos antecedentes necesarios y luego nos sumergiremos en el ataque Badger DAO , un ataque de phishing que ocurri贸 en noviembre-diciembre de 2021, durante el cual el atacante pudo robar aproximadamente 121 millones de d贸lares estadounidenses a los usuarios. El ataque Badger DAO destaca la necesidad de incorporar seguridad en web3 mientras se encuentra en sus primeras etapas de evoluci贸n y adopci贸n. A un alto nivel, recomendamos que los desarrolladores de software aumenten la usabilidad de seguridad de web3. Mientras tanto, los usuarios finales deben verificar expl铆citamente la informaci贸n a trav茅s de recursos adicionales, como la revisi贸n de la documentaci贸n de los proyectos y los sitios web informativos/de reputaci贸n externa.


Cadena de Bloques


La cadena de bloques es un libro mayor distribuido asegurado por algoritmos criptogr谩ficos. Se puede considerar como una base de datos que muestra las transferencias de criptomonedas de una cuenta a otra. Las cadenas de bloques m谩s grandes por capitalizaci贸n de mercado en la actualidad son Bitcoin y Ethereum. Las transacciones que env铆a a una cadena de bloques pueden modificar el libro mayor, por ejemplo, al transferir monedas de criptomonedas de su cuenta a otra cuenta.


El blockchain es p煤blico, lo que significa que todas las transacciones son visibles p煤blicamente. Las interfaces web de blockchain (p. ej., https://etherscan.io/ para los blockchain de Ethereum) existen para explorar transacciones, cuentas y contratos inteligentes.



Ataques de Phishing


Existen m煤ltiples tipos de ataques de phishing en el mundo web3. La tecnolog铆a a煤n es incipiente y pueden surgir nuevos tipos de ataques. Algunos ataques se parecen a los ataques tradicionales de phishing de credenciales observados en web2, pero algunos son exclusivos de web3. Un aspecto que permite al blockchain p煤blico e inmutable es la transparencia total, por lo que se puede observar y estudiar un ataque despu茅s de que ocurra. Tambi茅n permite la evaluaci贸n del impacto financiero de los ataques, lo cual es un desaf铆o en los ataques de phishing web2 tradicionales.


Recuerde que con las claves criptogr谩ficas (generalmente almacenadas en una billetera), usted tiene la clave de sus monedas de criptomoneda. Divulgue esa clave a una parte no autorizada y sus fondos pueden moverse sin su consentimiento. Robar estas claves es similar a robar las credenciales de las cuentas web2. Las credenciales de Web2 generalmente se roban al dirigir a los usuarios a un sitio web ileg铆timo (por ejemplo, un sitio que se hace pasar por su banco) a trav茅s de un conjunto de correos electr贸nicos de phishing.


Si bien los atacantes pueden utilizar una t谩ctica similar en web3 para obtener su clave privada, dada la adopci贸n actual, la probabilidad de que un correo electr贸nico llegue a la bandeja de entrada de un usuario de criptomonedas es relativamente baja. En cambio, se pueden emplear diferentes t谩cticas para llegar y enga帽ar a los usuarios de criptomonedas para que entreguen su clave privada:


鈿狅笍 Supervisi贸n de las redes sociales para los usuarios que se comunican con el soporte del software de billetera y saltan con mensajes directos que suplantan el soporte para robar la clave privada de uno directamente 2.


鈿狅笍 Distribuir nuevos tokens de forma gratuita a un conjunto de cuentas (es decir, tokens "Airdrop") y luego fallar en las transacciones de esos tokens con un mensaje de error para redirigir a un sitio web de phishing 6 o un sitio web que instala complementos de miner铆a de monedas que roban sus credenciales de tu dispositivo local 3.


鈿狅笍 Typosquatting y suplantaci贸n de front-end leg铆timos de contratos inteligentes 4.


鈿狅笍 Hacerse pasar por software de billetera y robar claves privadas directamente.


La t茅cnica de ataque de Ice Phishing que discutimos en esta publicaci贸n no implica el robo de claves privadas. M谩s bien, implica enga帽ar a un usuario para que firme una transacci贸n que delega la aprobaci贸n de los tokens del usuario al atacante. Este es un tipo com煤n de transacci贸n que permite interacciones con contratos inteligentes DeFi, ya que se utilizan para interactuar con los tokens del usuario (por ejemplo, intercambios) como se muestra en la Figura 1. Las Figuras 2 y 3 muestran c贸mo puede ser la aprobaci贸n.


En este ejemplo, mostramos la aprobaci贸n inicial (paso 1 en la Figura 1), la interfaz y las solicitudes de firma de transacci贸n que se necesitan para que Uniswap DEX intercambie tokens USDC por tokens LINK. Tenga en cuenta que la solicitud leg铆tima es 0x68b3465833fb72A70ecDF485E0e4C7bD8665Fc45 (el Uniswap V3: Router 2). Una vez que se ha otorgado la aprobaci贸n, permite que el contrato inteligente Uniswap V3: Router 2 transfiera tokens USDC en nombre del usuario para ejecutar el intercambio (pasos 3 y 4 en la Figura 1).

Figura 1. Flujo de ejemplo de Uniswap


Figura 2. Interfaz de aprobaci贸n de Uniswap. Figura 3. Solicitud de firma de transacci贸n de aprobaci贸n.


En un ataque de Ice Phishing, el atacante simplemente necesita modificar la direcci贸n del gastador a la direcci贸n del atacante. Esto puede ser bastante efectivo ya que la interfaz de usuario no muestra toda la informaci贸n pertinente que pueda indicar que la transacci贸n ha sido manipulada. En el ejemplo anterior, un usuario no puede saber si la cuenta que se va a autorizar 0x68b3465833fb72A70ecDF485E0e4C7bD8665Fc45 (que se muestra en la Figura 3) es de hecho Uniswap V3: Router 2 o una direcci贸n controlada por el atacante.

Una vez que la transacci贸n de aprobaci贸n ha sido firmada, enviada y extra铆da, el gastador puede acceder a los fondos. En caso de un ataque de Ice Phishing, el atacante puede acumular aprobaciones durante un per铆odo de tiempo y luego agotar r谩pidamente todas las billeteras de la v铆ctima. Esto es exactamente lo que sucedi贸 con el ataque Badger DAO que permiti贸 al atacante drenar millones de d贸lares estadounidenses en noviembre-diciembre de 2021.

馃敶 puedes leer la investigaci贸n completa en:

https://www.microsoft.com/security/blog/2022/02/16/ice-phishing-on-the-blockchain/





Human Firewall, el siguiente nivel de la Ciberseguridad


鉁 Conoce nuestra estrategia de Cyber Security en 4 ejes: Ethical Hackers, Compliance, Security Awareness, Security & Solutions en www.Inntesec.com/vision


鉁 Conoce nuestro programa y estrategia de Human Firewall con KnowBe4 en www.Inntesec.com/awareness


鉁 Aprovecha los beneficios SENCE a trav茅s de nuestra OTEC www.Inntesec.Academy


馃摬 Cont谩ctanos v铆a WhatsApp: wa.me/56989217125


馃敶 Cont谩ctanos si quieres conocer sobre nuestros servicios: https://www.Inntesec.com/contacto




Visi贸n de Inntesec sobre una Cultura de Ciberseguridad


El usuario es el eslab贸n m谩s d茅bil de la cadena de seguridad

El eslab贸n m谩s d茅bil en la cadena de seguridad son las personas, donde, los 鈥渆rrores humanos鈥 son una puerta de entrada para los ataques, esta situaci贸n advierte sobre la importancia de avanzar con un cambio cultural al interior de las organizaciones. Buscamos crear conciencia y provocar un cambio disruptivo a trav茅s de una nueva visi贸n que estamos promoviendo, donde el usuario que es el eslab贸n m谩s d茅bil e importante en una organizaci贸n es clave en esta transformaci贸n para llevarlo a un nivel de Human Firewall. Para lograr este objetivo nos basamos en nuestro Programa conocido como Inntesec Security Awareness Services (Inn-SaS).


Invertir en el usuario es la mejor decisi贸n para evitar el enga帽o y las p茅rdidas

Hoy el 90% de las inversiones y el gasto TI es en tecnolog铆a y menos del 10% en los usuarios. Esta estrategia no es la m谩s adecuada, ya que los malos 鈥淎ctores鈥 (ciberdelincuentes) siguen infiltr谩ndose en las redes y sistemas a trav茅s del Human Hacking, provocando fraude, violaciones de datos y generando p茅rdidas millonarias. 鈥淓st谩 demostrado que la tecnolog铆a por s铆 sola no es suficiente鈥. Cabe destacar que el costo promedio de p茅rdidas econ贸micas que provocaron los malos 鈥淎ctores鈥 (ciberdelincuentes) a las organizaciones en los 煤ltimos a帽os superan los USD 2.500.000 y el costo promedio de una violaci贸n de datos es de USD 500.000.


A trav茅s de Inntesec Security Awareness Services (Inn-SaS) los usuarios aprender谩n a conocer y gestionar mejor los riesgos de seguridad por concepto de Human Hacking con relaci贸n a; social engineering, phishing, spear phishing, spoofing, ransomware, ATP. La capacitaci贸n de los empleados es el primer paso para prevenir las brechas de seguridad y establecer una estrategia de concientizaci贸n en ciberseguridad e ingenier铆a social.



Programa sobre concientizaci贸n en ciberseguridad

Implementar un Programa de Concientizaci贸n de Ciberseguridad es clave, nuestra visi贸n disruptiva, es llevar al usuario que es el eslab贸n m谩s d茅bil e importante de una organizaci贸n a un nivel de Human Firewall a trav茅s de un programa anual de Inntesec Security Awareness Program, que mide el nivel de madurez de cada usuario y a su vez de toda la organizaci贸n llev谩ndola sobre el 50% de probabilidad real que sea v铆ctima de un fraude, suplantaci贸n de identidad o data breach a menos de un 10% totalmente medible.



SECURITY AWARENESS, es parte de nuestra estrategia que busca llevar al usuario a un nivel de madurez de 鈥淗uman Firewall鈥, servicios entregados por profesionales de alto nivel. A trav茅s de un programa online anual y con el apoyo de una plataforma eLearning 100% Cloud podemos simular, capacitar y entrenar a los usuarios que son el eslab贸n m谩s d茅bil e importante de una organizaci贸n, en temas sobre concientizaci贸n en ciberseguridad e ingenier铆a social. Mediante campa帽as programadas podemos ejecutar diversos m茅todos de ataque tales como: Phishing, Spear Phishing, CEO Fraud, Social Engineering.


Nuestra metodolog铆a est谩 basada en tres ejes:

  1. Charlas sobre Concientizaci贸n en Ciberseguridad (charlas con foco en lo que la organizaci贸n necesite o bien nuestra propuesta sobre temas reales).

  2. Programa eLearning de Ciberseguridad (newsletter, video educativos, m贸dulos de entrenamiento y evaluaciones).

  3. Plataforma Simulaci贸n de Ataques Ethical Phishing (ataques simulados del tipo social engineering, phishing, spear phishing, spoofing, entre otros).



Al tomar nuestro programa sobre Concientizaci贸n en Ciberseguridad (Security Awareness) enfocado en el Usuario, ser谩s parte de aquellos que han decidido ser un Human Firewall, capac铆tate con nosotros y conoce nuestros Cursos e-Learning.

隆Excelentes Noticias para ti!, Inntesec Academy con cursos en Sence


Quiero compartir contigo una excelente noticia, oficialmente SENCE nos dio su aprobaci贸n para ser OTEC. Estamos subiendo una serie de Cursos sobre Concientizaci贸n en Ciberseguridad entre muchos otros. A trav茅s de nuestra plataforma e-Learning 100% Cloud, los usuarios pueden acceder y tomar los cursos con sus respectivas mediciones y evaluaciones.



Nuestro Centro de Capacitaci贸n Online Inntesec Academy ya est谩 disponible para que puedan obtener los beneficios tributarios SENCE y sobre todo Entrenar a los Usuarios en materia de Concientizaci贸n en Ciberseguridad, Giovani Becerra, CEO

Pueden ver algunos de nuestros cursos en nuestra Plataforma Web www.inntesec.com/e-learning y tambi茅n preparamos cursos seg煤n la necesidad de cada organizaci贸n.


Cont谩ctanos a ventas@inntesec.com y conoce sobre nuestro Programa de Inntesec Security Awareness y evaluaremos una PoC sin costo.


Fuente: Microsoft e Inntesec

13 visualizaciones0 comentarios