Las tecnologías que nos conectan avanzan continuamente y, si bien esto brinda enormes y nuevas capacidades a los usuarios, también abre nuevas superficies de ataque para los Malos Actores. La ingeniería social representa una clase de amenazas que se ha extendido a prácticamente todas las tecnologías que permiten la conexión humana.
Investigación de Microsoft sobre un Ataque de Ice Phishing
Una reciente investigación de Microsoft demuestra un ataque de phishing conectado a blockchain reafirma la durabilidad de estas amenazas, así como la necesidad de que los fundamentos de seguridad se integren en futuros sistemas y marcos relacionados.
El Phishing de Credenciales persigue a las empresas y usuarios día tras día en el mundo web2, que es la versión de Internet con la que la mayoría de nosotros estamos familiarizados y usamos hoy en día. Es un negocio rentable para los Malos Actores (ciberdelincuentes), incluso si los márgenes son reducidos y existe un riesgo significativo asociado con la monetización de las credenciales de una empresa (por ejemplo, a través de ataques de ransomware operados por humanos ). Ahora, imagine si un atacante puede, por sí solo, tomar una gran parte de la capitalización de mercado de criptomonedas de casi 2,2 billones de dólares estadounidenses y hacerlo con un anonimato casi total. Esto cambia la dinámica del juego y es exactamente lo que sucede en el mundo web3 varias veces al mes.
Funcionamiento de la Tecnología W3 y el Ataque Badger DAO
Web3 es el mundo descentralizado que se construye sobre la seguridad criptográfica que sienta las bases del blockchain (en contraste, web2 es el mundo más centralizado). En web3, los fondos que tiene en su billetera sin custodia están protegidos por la clave privada que solo usted conoce. Los contratos inteligentes con los que interactúa son inmutables, a menudo de código abierto y auditados. ¿Cómo ocurren los ataques de phishing con una base tan segura? Esto es lo que exploraremos en esta investigación.
Compartiremos algunos antecedentes necesarios y luego nos sumergiremos en el ataque Badger DAO , un ataque de phishing que ocurrió en noviembre-diciembre de 2021, durante el cual el atacante pudo robar aproximadamente 121 millones de dólares estadounidenses a los usuarios. El ataque Badger DAO destaca la necesidad de incorporar seguridad en web3 mientras se encuentra en sus primeras etapas de evolución y adopción. A un alto nivel, recomendamos que los desarrolladores de software aumenten la usabilidad de seguridad de web3. Mientras tanto, los usuarios finales deben verificar explícitamente la información a través de recursos adicionales, como la revisión de la documentación de los proyectos y los sitios web informativos/de reputación externa.
Cadena de Bloques
La cadena de bloques es un libro mayor distribuido asegurado por algoritmos criptográficos. Se puede considerar como una base de datos que muestra las transferencias de criptomonedas de una cuenta a otra. Las cadenas de bloques más grandes por capitalización de mercado en la actualidad son Bitcoin y Ethereum. Las transacciones que envía a una cadena de bloques pueden modificar el libro mayor, por ejemplo, al transferir monedas de criptomonedas de su cuenta a otra cuenta.
El blockchain es público, lo que significa que todas las transacciones son visibles públicamente. Las interfaces web de blockchain (p. ej., https://etherscan.io/ para los blockchain de Ethereum) existen para explorar transacciones, cuentas y contratos inteligentes.
Ataques de Phishing
Existen múltiples tipos de ataques de phishing en el mundo web3. La tecnología aún es incipiente y pueden surgir nuevos tipos de ataques. Algunos ataques se parecen a los ataques tradicionales de phishing de credenciales observados en web2, pero algunos son exclusivos de web3. Un aspecto que permite al blockchain público e inmutable es la transparencia total, por lo que se puede observar y estudiar un ataque después de que ocurra. También permite la evaluación del impacto financiero de los ataques, lo cual es un desafío en los ataques de phishing web2 tradicionales.
Recuerde que con las claves criptográficas (generalmente almacenadas en una billetera), usted tiene la clave de sus monedas de criptomoneda. Divulgue esa clave a una parte no autorizada y sus fondos pueden moverse sin su consentimiento. Robar estas claves es similar a robar las credenciales de las cuentas web2. Las credenciales de Web2 generalmente se roban al dirigir a los usuarios a un sitio web ilegítimo (por ejemplo, un sitio que se hace pasar por su banco) a través de un conjunto de correos electrónicos de phishing.
Si bien los atacantes pueden utilizar una táctica similar en web3 para obtener su clave privada, dada la adopción actual, la probabilidad de que un correo electrónico llegue a la bandeja de entrada de un usuario de criptomonedas es relativamente baja. En cambio, se pueden emplear diferentes tácticas para llegar y engañar a los usuarios de criptomonedas para que entreguen su clave privada:
⚠️ Supervisión de las redes sociales para los usuarios que se comunican con el soporte del software de billetera y saltan con mensajes directos que suplantan el soporte para robar la clave privada de uno directamente 2.
⚠️ Distribuir nuevos tokens de forma gratuita a un conjunto de cuentas (es decir, tokens "Airdrop") y luego fallar en las transacciones de esos tokens con un mensaje de error para redirigir a un sitio web de phishing 6 o un sitio web que instala complementos de minería de monedas que roban sus credenciales de tu dispositivo local 3.
⚠️ Typosquatting y suplantación de front-end legítimos de contratos inteligentes 4.
⚠️ Hacerse pasar por software de billetera y robar claves privadas directamente.
La técnica de ataque de Ice Phishing que discutimos en esta publicación no implica el robo de claves privadas. Más bien, implica engañar a un usuario para que firme una transacción que delega la aprobación de los tokens del usuario al atacante. Este es un tipo común de transacción que permite interacciones con contratos inteligentes DeFi, ya que se utilizan para interactuar con los tokens del usuario (por ejemplo, intercambios) como se muestra en la Figura 1. Las Figuras 2 y 3 muestran cómo puede ser la aprobación.
En este ejemplo, mostramos la aprobación inicial (paso 1 en la Figura 1), la interfaz y las solicitudes de firma de transacción que se necesitan para que Uniswap DEX intercambie tokens USDC por tokens LINK. Tenga en cuenta que la solicitud legítima es 0x68b3465833fb72A70ecDF485E0e4C7bD8665Fc45 (el Uniswap V3: Router 2). Una vez que se ha otorgado la aprobación, permite que el contrato inteligente Uniswap V3: Router 2 transfiera tokens USDC en nombre del usuario para ejecutar el intercambio (pasos 3 y 4 en la Figura 1).
Figura 1. Flujo de ejemplo de Uniswap
Figura 2. Interfaz de aprobación de Uniswap. Figura 3. Solicitud de firma de transacción de aprobación.
En un ataque de Ice Phishing, el atacante simplemente necesita modificar la dirección del gastador a la dirección del atacante. Esto puede ser bastante efectivo ya que la interfaz de usuario no muestra toda la información pertinente que pueda indicar que la transacción ha sido manipulada. En el ejemplo anterior, un usuario no puede saber si la cuenta que se va a autorizar 0x68b3465833fb72A70ecDF485E0e4C7bD8665Fc45 (que se muestra en la Figura 3) es de hecho Uniswap V3: Router 2 o una dirección controlada por el atacante.
Una vez que la transacción de aprobación ha sido firmada, enviada y extraída, el gastador puede acceder a los fondos. En caso de un ataque de Ice Phishing, el atacante puede acumular aprobaciones durante un período de tiempo y luego agotar rápidamente todas las billeteras de la víctima. Esto es exactamente lo que sucedió con el ataque Badger DAO que permitió al atacante drenar millones de dólares estadounidenses en noviembre-diciembre de 2021.
🔴 puedes leer la investigación completa en:
Human Firewall, el siguiente nivel de la Ciberseguridad
✅ Conoce nuestra estrategia de Cyber Security en 4 ejes: Ethical Hackers, Compliance, Security Awareness, Security & Solutions en www.Inntesec.com/vision
✅ Conoce nuestro programa y estrategia de Human Firewall con KnowBe4 en www.Inntesec.com/awareness
✅ Aprovecha los beneficios SENCE a través de nuestra OTEC www.Inntesec.Academy
📲 Contáctanos vía WhatsApp: wa.me/56989217125
🔴 Contáctanos si quieres conocer sobre nuestros servicios: https://www.Inntesec.com/contacto
Visión de Inntesec sobre una Cultura de Ciberseguridad
El usuario es el eslabón más débil de la cadena de seguridad
El eslabón más débil en la cadena de seguridad son las personas, donde, los “errores humanos” son una puerta de entrada para los ataques, esta situación advierte sobre la importancia de avanzar con un cambio cultural al interior de las organizaciones. Buscamos crear conciencia y provocar un cambio disruptivo a través de una nueva visión que estamos promoviendo, donde el usuario que es el eslabón más débil e importante en una organización es clave en esta transformación para llevarlo a un nivel de Human Firewall. Para lograr este objetivo nos basamos en nuestro Programa conocido como Inntesec Security Awareness Services (Inn-SaS).
Invertir en el usuario es la mejor decisión para evitar el engaño y las pérdidas
Hoy el 90% de las inversiones y el gasto TI es en tecnología y menos del 10% en los usuarios. Esta estrategia no es la más adecuada, ya que los malos “Actores” (ciberdelincuentes) siguen infiltrándose en las redes y sistemas a través del Human Hacking, provocando fraude, violaciones de datos y generando pérdidas millonarias. “Está demostrado que la tecnología por sí sola no es suficiente”. Cabe destacar que el costo promedio de pérdidas económicas que provocaron los malos “Actores” (ciberdelincuentes) a las organizaciones en los últimos años superan los USD 2.500.000 y el costo promedio de una violación de datos es de USD 500.000.
A través de Inntesec Security Awareness Services (Inn-SaS) los usuarios aprenderán a conocer y gestionar mejor los riesgos de seguridad por concepto de Human Hacking con relación a; social engineering, phishing, spear phishing, spoofing, ransomware, ATP. La capacitación de los empleados es el primer paso para prevenir las brechas de seguridad y establecer una estrategia de concientización en ciberseguridad e ingeniería social.
Programa sobre concientización en ciberseguridad
Implementar un Programa de Concientización de Ciberseguridad es clave, nuestra visión disruptiva, es llevar al usuario que es el eslabón más débil e importante de una organización a un nivel de Human Firewall a través de un programa anual de Inntesec Security Awareness Program, que mide el nivel de madurez de cada usuario y a su vez de toda la organización llevándola sobre el 50% de probabilidad real que sea víctima de un fraude, suplantación de identidad o data breach a menos de un 10% totalmente medible.
SECURITY AWARENESS, es parte de nuestra estrategia que busca llevar al usuario a un nivel de madurez de “Human Firewall”, servicios entregados por profesionales de alto nivel. A través de un programa online anual y con el apoyo de una plataforma eLearning 100% Cloud podemos simular, capacitar y entrenar a los usuarios que son el eslabón más débil e importante de una organización, en temas sobre concientización en ciberseguridad e ingeniería social. Mediante campañas programadas podemos ejecutar diversos métodos de ataque tales como: Phishing, Spear Phishing, CEO Fraud, Social Engineering.
Nuestra metodología está basada en tres ejes:
Charlas sobre Concientización en Ciberseguridad (charlas con foco en lo que la organización necesite o bien nuestra propuesta sobre temas reales).
Programa eLearning de Ciberseguridad (newsletter, video educativos, módulos de entrenamiento y evaluaciones).
Plataforma Simulación de Ataques Ethical Phishing (ataques simulados del tipo social engineering, phishing, spear phishing, spoofing, entre otros).
Al tomar nuestro programa sobre Concientización en Ciberseguridad (Security Awareness) enfocado en el Usuario, serás parte de aquellos que han decidido ser un Human Firewall, capacítate con nosotros y conoce nuestros Cursos e-Learning.
¡Excelentes Noticias para ti!, Inntesec Academy con cursos en Sence
Quiero compartir contigo una excelente noticia, oficialmente SENCE nos dio su aprobación para ser OTEC. Estamos subiendo una serie de Cursos sobre Concientización en Ciberseguridad entre muchos otros. A través de nuestra plataforma e-Learning 100% Cloud, los usuarios pueden acceder y tomar los cursos con sus respectivas mediciones y evaluaciones.
Nuestro Centro de Capacitación Online Inntesec Academy ya está disponible para que puedan obtener los beneficios tributarios SENCE y sobre todo Entrenar a los Usuarios en materia de Concientización en Ciberseguridad, Giovani Becerra, CEO
Pueden ver algunos de nuestros cursos en nuestra Plataforma Web www.inntesec.com/e-learning y también preparamos cursos según la necesidad de cada organización.
Contáctanos a ventas@inntesec.com y conoce sobre nuestro Programa de Inntesec Security Awareness y evaluaremos una PoC sin costo.
Fuente: Microsoft e Inntesec
Comments