Análisis del reporte: INC034932018
Tipo de reporte: Vulneración de cuentas de usuarioAfectación: Usuarios plataforma www.encuentra24.com
Descripción del evento
Reportes de múltiples usuarios indican respecto de una afectación e intento de fraude contra individuos que están ofertando propiedades en alquiler y bienes a través de la plataforma web www.encunetra24.com. Dichos reportes son analizados por nuestro equipo de investigadores y efectivamente se encuentra suficiente evidencia para reconstruir el modus operandi del cibercriminal y reportarlo a las autoridades.
Detallamos a continuación el proceso de investigación
Apertura de cuenta en Encuentra 24: Los reportes indican que los usuarios en el período del 15-29 de agosto proceden a activar una cuenta de forma regular, la cuál posterior al registro el proceso de apertura incluye una verificación basada en un código de autenticación el cuál el usuariorecibe a través de un SMS desde el teléfono 7071-9986 como se observa en la siguiente imagen
El atacante hace primer contacto haciendose pasar como comprador: El contacto es aparentemente inocente por WhatsApp, preguntando precios de los productos anunciados en Encuentra24, usando el número de teléfono 6266-0604. En varios días sucesivos, el delincuente pide más información de los productos en venta. Indica que ha cambiado de número de teléfono y efectivamente manda los Whatsapp del número nuevo 6466-5618. Confirma finalmente una compra poco antes de las 2 PM. Pregunta insistentemente acerca de cuentas de email y números de cuenta bancarios para hacer el depósito del valor de los bienes, los cuales consigue por parte del usuario. Consigue la dirección de la casa de habitación del usuario para recoger el bien. El atacante obtiene datos sensitivos: Con el objeto de “confirmar si el vendedor está inscrito en Encuentra24”, le pide que le confirme un código que le llegará por SMS del número de teléfono de Encuentra24.Interesantemente llega efectivamente un mensaje del mismo teléfono con que se confirmó la apertura de cuenta en Encuentra24, lo cuál le da confianza al usuario pues piensa que se trata de un mensaje oficial de la plataforma, pero con el texto ahora diferente e inusual (como si alguien lo hubiese escrito a propósito) “Usar 5025350 como código de restablecimiento de la contraseña de Microsoft”El usuario, confiado y sin leer el objeto real del mensaje, le envía el código recibido en el SMS. Nótese que tanto “Microsoft” como “Encuentra24” están usando aparentemente el mismo servicio de SMS.
La cuenta de Hotmail del usuario es hackeada: De inmediato llega un email a la cuenta de Hotmail del usuario diciendo que se ha cambiado su contraseña desde la dirección IP 186.96.86.220, la cual pudimos capturar en el acto y corresponde a un punto de acceso ubicado en las cercanías de las oficinas de la Defensoría de los Habitantes en Barrio México. El usuario se da cuenta del ataque y toma acciones: bloquea sus cuentas del Banco a las 2:15 PM y cambia su contraseña de Facebook y Amazon. Utiliza el método de recuperar la cuenta ofrecido por Hotmail de manera exitosa
Posterior al cambio de contraseña de Facebook, se recibe un email de la empresa diciendo que ha habido varios intentos infructuosos de acceder a su cuenta.
6. Mensaje del BAC para recuperación de usuario. El usuario recibe un email del BAC una hora después de haber cambiado su contraseña, enviando un código para recuperación de usuario. Esta cuenta de email había estado en poder del atacante pero fue recuperada al anular el cambio de contraseña
El cliente contacto a nuestro equipo justo a tiempo para poder activiar los mecanismos de autenticación fuerte lo que impidió que el cibercriminal ingresara a su correo, perfil social y plataforma bancaria. Con la evidencia se procede a acudir con el cliente al Organismo de Investigación Judicial y presentar la respectiva denuncia para su posterior investigación y notificación a las partes afectadas.
Recomendaciones:
En los últimos cinco años Costa Rica ha visto un incremento exponencial en tanto el volumen como la sofisticación de los ataques informáticos, siendo el Fraude Informático el delito que encabeza la mayoría de reportes donde se utilizan técnicas de ingeniería social y se aprovechan no solo fallos técnicos de los sistemas de información implementados por empresas e instituciones nacionales donde el proceso de autenticación es incipiente y carente de la mayoría de buenas prácticas incluyendo la capacidad de habilitar autenticación en dos pasos y otro mecanismos de monitoreo y notificación. Así mismo la mayoría de clientes auditados comparten una misma falla fundamental, la educación a sus usuarios, que parece ser en general el determinante principal que el cibercriminal utiliza para tener éxito en sus operaciones. Por tanto se recomienda en todo momento activar la autenticación en dos pasos en todas las aplicaciones que así lo permitan para poder bloquear de manera efectiva intentos de intrusión por parte de usuarios malintencionados así como pedimos a todos nuestros seguidores NUNCA brindar códigos de token, de seguridad o ningún otro dato que pueda dar acceso a un usuario desconocido a nuestras redes o sistemas financieros. Ningún empleado o usuario legítimo va a necesitar esta información para completar absolutamente ningún trámite de ningún tipo.
Link al artículo original: https://www.facebook.com/notes/esteban-jim%C3%A9nez-ciberseguridad/cibercriminales-apuntan-contra-usuarios-de-encuentra24-en-cr/670703349977819/?__tn__=HH-R