Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas, o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Zona Privada Asociados   |   Boletines Compliance
 
FORMULARIO DE CONTACTO
Deseo suscribirme al Newsletter de la WCA
 

17/02/2021

(Ciber) asalto al Palau de Congresos

Autor: Juan Carlos Galindo

Fuente: LA VANGUARDIA

El ataque MITM (Man in the middle), del inglés Hombre en el medio, es muy popular entre los ciberdelincuentes por la cantidad de información a la que pueden llegar a acceder en caso de que tengan éxito. Es un tipo de ataque basado en interceptar la comunicación entre 2 o más interlocutores, pudiendo suplantar la identidad de uno u otro según lo requiera para ver la información y modificarla a su antojo, de tal forma que las respuestas recibidas en los extremos pueden estar dadas por el atacante y no por el interlocutor legítimo. Pero veamos exactamente en qué consiste para entenderlo mejor.

Básicamente, consiste en interceptar la comunicación entre 2 o más interlocutores. Para ello, alguien anónimo llamado X se sitúa entre ambos e intercepta los mensajes de A hacia B, conociendo la información y a su vez dejando que el mensaje continúe su camino.

width=694

Estos ataques de Ingeniería social son un conjunto de técnicas que emplean los ciberdelincuentes para ganarse la confianza del usuario y conseguir así que haga algo bajo su manipulación y engaño, como puede ser ejecutar un programa malicioso, facilitar sus claves privadas, comprar en sitios web fraudulentoso cambiar números de cuenta. Es decir, el engaño como arma del delito.

El ataque al Palau de Congresos

El primer paso es introducir un Malware (programa malicioso) para tener acceso al servidor de correo de unos de los 2 intervinientes; o bien en el de securitas, o bien en el del palacio de congresos, con el objeto de visualizar el trafico real y elegir bien a sus víctimas.

En segundo lugar y después de estar un tiempo espiando el tráfico de los correose, se elige a las víctimas, es decir, que persona paga y que proveedor va a ser el usado para el cambiazo del número de cuenta. Pero antes, se estudia y se prepara la simulación real de los correos a suplantar, para que a simple vista sean iguales (efecto visual), sobre todo la apariencia del correo exterior y luego el cuerpo de correo, con su firma (imagen 1) 

width=726

En este caso concreto, la estafa estuvo bien elaborada, ya que en el correo se acompañaban de 2 documentos razonablemente bien confeccionados: la orden del cambio de número de cuenta (imagen 2) y el certificado de esta (imagen 3)

width=784

Si por algún casual (cosa improbable) se hubiera comprobado el número de cuenta, esta hubiera pasado el filtro, ya que pertenece a La Oficina 0100 de ING DIRECT N.V. SUCURSAL EN ESPAÑA en LAS ROZAS DE MADRID, (MADRID) ubicada en SEVERO OCHOA, 2 PARQUE EMP.LAS ROZAS, CP 28232.

Además, en el correo electrónico en la parte de mostrar nombre, se mostraba el de SECURITAS. Siendo la dirección de correo del atacante la de, securitas@tecnicoadministracion.net

El dominio usado para el ataque fue @tecnicoadministracion.net este dominio se creo el 22 de septiembre de 2020 y fue contratado desde PANAMA. A su vez, la IP visible esta erradicada en Georgia, Atlanta, EE. UU. Pero todo esto no vale de mucho (sin tener acceso a la cabecera del correoe) ya que sabemos que este dominio esta ofuscado, es decir, vemos lo que él quiere que veamos, por lo tanto, la Info que nos da, no es la verdadera. Es habitual sea así para dificultar todavía mas si cabe la ubicación e identidad.

Un correo electrónico consiste en la cabecera (header) y el contenido del mensaje (cuerpo). La cabecera le permite rastrear el historial de transmisión de un correo electrónico. De la cabecera se puede obtener la siguiente información: el remitente, el destinatario, la fecha, el sujeto, los servidores implicados en la transmisión del remitente al destinatario. Esta ultima parte es la primordial para saber de donde ha venido y por donde ha pasado.

Cómo se detecto

El 16 de diciembre de 2020 se recibe en las cuentas de correo del Director Financiero y su colaboradora un correo, supuestamente de la empresa SECURITAS, en el que se indicaba un cambio de cuenta bancaria. Se procede a introducir en el programa de contabilidad, en la ficha del proveedor, la nueva cuenta corriente.

El 23 de diciembre de 2020 se realiza, a través de fichero electrónico, el pago de la remesa de las facturas emitidas por los proveedores en el mes de noviembre. El pago de SECURITAS se ordena a la nueva cuenta corriente que se habla comunicado en el email de 16 de diciembre.

El 29 de enero da 2021, se paga la factura correspondiente a diciembre, de 22.605 €, a la misma cuenta corriente.

El 8 de febrero de 2021 tienen lugar los siguientes acontecimientos:

Se detecta en la cuenta que el día 5 de febrero se produjo la devolución de la última factura de SECURITAS correspondiente a los consumos generados durante el mes de diciembre. Se remite correo al responsable del servicio de la cuenta de seguridad, para que indique el número de cuenta al que ha de hacerse el pago.

Se recibe correo de la responsable de cobros de SECURITAS de Valencia, que adjunta de nuevo el certificado de titularidad, e informa de que no se ha recibido el pago de los 21.020,11 €de la factura correspondiente a los gastos del mes de noviembre.

Al constatar que la cuenta corriente de SECURITAS seguía siendo la misma de siempre, que no ha habido ningún cambio, se detecta la posible estafa.

Se remite correo a la directora de la sucursal de CAIXA POPULAR, quien informa que la cuenta corriente a la que se realizó el pago de los 21.020,11 €, está bloqueada. Al parecer, la factura de diciembre se devolvió, porque la falsa cuenta corriente ya había sido bloqueada por ING DIRECT. Probablemente por denuncias anteriores de otros estafados por ser utilizada como cuenta de phishing.

La estafa se podía haber evitado

Parece increíble como después de lo sucedido con la estafa de la EMT, vuelva a ocurrir lo mismo en otra entidad pública dependiente del Ayuntamiento de Valencia. ¿Dónde están los planes de prevención del delito que en el pleno del ayuntamiento de valencia de fecha 17 de octubre de 2019, se airearon con bombo y platillo, dónde están? Los buenos gestores asumen sus errores y buscan la mejora, los malos siempre buscan escusas.

Lo primero que hace cualquier profesional que se precie es mitigar la brecha de riesgo en la cadena de ciberseguridad y fortalecer el eslabón más débil, las personas. Sin descuidar la seguridad en nuestros sistemas, equipos y redes informáticas.

Tan solo una llamada telefónica de verificación secundaria al proveedor hubiera bastado. Ha esto se le llama verificación en dos pasos. No es suficiente que nos manden un correo, que parezca el suyo, o unos certificados que parezcan los suyos, debemos de realizar una comprobación activa de veracidad. Los bancos no pueden comprobar si una cuenta que esta en otra entidad pertenece a su titular o no, ya que no comparten información de clientes con su competencia, como es normal. De ahí el formulario SEPA entre otros.

En definitiva, una vez más los políticos se alejan cada día más, de la realidad de la sociedad civil y de los profesionales que la componen y por ende del ciudadano que paga sus impuestos religiosamente. Con estas inacciones políticas podemos llegar a cuestionarnos por qué y para que pago mis impuestos, ya que los 21.000€ estafados son de los ciudadanos valencianos.

Esta situación de desidia por parte de nuestros gobernantes de turno, como si el dinero público no fuera de nadie alimenta sin lugar a dudas el hastío y el desapego hacia las instituciones publicas y sobre todo hacia la clase política. Produciendo así, un quebranto entre las relaciones ciudadanas y públicas. Una pena.

 


 
Patrocinadores
Colaboradores
Entidades Asociadas