Robar 1,3 millones de dólares a través de Internet suena a manido argumento de película de hackers, pero lo cierto es que es bastante real. En este caso, los investigadores de Check Point Software Technologies, han descubierto que el grupo de cibercriminales conocido como “The Florentine Banker” consiguió robar esa ingente cantidad de dinero de transacciones realizadas por tres empresas británicas de capital privado. Los investigadores nos han dado todos los detalles sobre cómo han robado 1,3 millones de dólares en transferencias bancarias y os los contamos tras el salto.
No son muchos los que consiguen colocarse entre los mejores hackers del mundo, pero se trata de una actividad en auge debido a la digitalización creciente de la sociedad. En este caso, este grupo de hackers tuvo, durante meses, el objetivo de manipular el correo electrónico, registrar dominios similares y realizar el cobro directo de cuatro transacciones bancarias que trataban de transferir dinero a cuentas bancarias no reconocidas. Pese a ello, la firma de seguridad responsable de su descubrimiento logró recuperar algo más de 700.000 dólares.
The Florentine Banker
Antes de nada, matizar que se desconoce el origen del grupo de cibercriminales, aunque se interceptaron conversaciones en inglés, operaban únicamente de lunes a viernes y las cuentas fraudulentas que utilizaban estaban localizadas en Hong Kong y Reino Unido. Su modus operandi era el siguiente:
- Seleccionar al objetivo
- Iniciar una campaña de phishing dirigida contra los encargados de realizar transacciones económicas como directores ejecutivos y financieros
- Una vez obtienen el control de una cuenta de correo de la víctima, monitorizan todas sus comunicaciones durante semanas o meses para descifrar los procedimientos del negocio.
- Aislar a la víctima de terceros y de sus propios compañeros de trabajo, creando reglas de buzón maliciosas con el objetivo de desviar cualquier correo electrónico a una carpeta bajo su supervisión a través de ataques Man-in-the- Middle.
- Los atacantes registran dominios con una apariencia visual similar a las webs originales de las entidades involucradas en la correspondencia de correo electrónico interceptado.
- Comienzan a enviar mensajes desde estos nuevos dominios para establecer o mantener una conversación ya existente, haciendo creer a la víctima que la fuente es de fiar.
- empiezan a infiltrar información de cuentas bancarias fraudulentas a través de dos técnicas:
- interceptando transferencias legítimas
- creando nuevas solicitudes
- Manipulan la conversación hasta que la víctima aprueba los nuevos datos bancarios y confirma la transacción.
Como vemos, mucha parte del proceso depende de la ingeniera social y de convencer a la víctima de pinchar en un enlace o aceptar una transacción. Sin embargo, también existen otro tipo de componentes en el proceso como la monitorización de las comunicaciones o los ataques Man-in-the- Middle, sin dejar de lado los dominios falsos o las cuentas fraudulentas.