Phishing, el “hermano pobre” de los troyanos

Seguridad

El phishing sigue siendo la práctica fraudulenta por Internet más visible y reconocida, ya que el spam masivo de correos invitando a los usuarios a que visiten una página falsa puede ser detectado por cualquiera.

Por contra, de los troyanos especializados en el robo de claves se saben que existen y están ahí, aunque no son tan reconocidos ni se ven a simple vista. ¿Qué técnica de estafa es más peligrosa? ¿Con cuál se están obteniendo mayores resultados y beneficios?

Primero hay que dejar por sentado que si tanto phishing como troyanos de robo de contraseñas siguen proliferando es, simplemente, porque con ambas técnicas los estafadores obtienen beneficios.

Las principales diferencias entre una técnica y otra, pensando en la rentabilidad de los estafadores, son:

* Exposición: cómo ya hemos comentado al inicio, un ataque phishing tradicional, no segmentado o dirigido, queda expuesto a cualquiera desde el lanzamiento del spam, incluso en muchas ocasiones se aborta antes de que sea público a través del spam.

El troyano no puede detectarse antes de que sea público (nos referimos a la detección del sitio donde envían los datos, no a la detección de la muestra en sí que sí puede ser detectada por un antivirus desde el minuto 0), y la distribución puede ser más silenciosa y pasar desapercibida al no ser tan evidente como un phishing.

* Esperanza de vida: por la exposición, un ataque phishing se detecta e intenta mitigar/cerrar desde el primer momento. Dependiendo de la insistencia del equipo de cierre y de la profesionalidad/colaboración de los responsables del sitio donde se hospede, el ataque puede estar “vivo” durante minutos, horas, o a lo sumo algunos días.

La esperanza media de vida de cada una de las variantes de un troyano suele ser de varias semanas o meses, dependiendo de cuando es detectado por un servicio antifraude y se cierra el destino a donde el troyano envía los datos.

* Alcance: en el phishing tradicional cada ataque va destinado a una entidad en concreto, ya que tanto el e-mail como la página están personalizadas para imitar a una determinada entidad. Por otra parte, una sola variante de un troyano suele dirigirse a un mayor número de entidades, normalmente varias decenas, o directamente capturar datos de forma indiscriminada que después pueden ser fácilmente filtrados en el servidor que recibe los datos.

* Dificultad: un ataque de phishing tradicional es relativamente muy fácil y rápido de montar sin necesidad de grandes conocimientos, lo que explicaría que aun no siendo tan productivo como un troyano siga siendo una práctica habitual.

Los troyanos conllevan una mayor dificultad en su diseño, requiere más conocimientos avanzados de programación que un phishing, sin embargo también se está popularizando la venta en foros underground de kits de troyanos “banker” que facilitarían los ataques a estafadores menos preparados.

* Calidad: en el phishing tradicional son muchos los usuarios que, a sabiendas de que se trata de un fraude, introducen en las páginas de phishing información falsa para confundir a los estafadores. Por nuestra experiencia, en la que hemos accedido a servidores de phishing, en los datos introducidos se encuentran desde contraseñas falsas hasta mensajes o insultos hacia los estafadores, el porcentaje de información útil y aprovechable es pequeña, aunque suficiente para que sea rentable (aunque los que “piquen” se puedan contar con los dedos de una mano).

Por el contrario, los datos capturados por los troyanos son en su inmensa mayoría auténticos, ya que el usuario no es consciente de que de forma oculta los datos introducidos en las páginas webs legítimas están siendo a su vez reenviados al servidor de los estafadores. Además el volumen de datos recolectados es muy superior al que puede lograr cualquier ataque phishing, de hecho los estafadores sólo explotan una parte de lo que capturan con este tipo de ataques (se centran en las entidades que les ofrecen “mayores ventajas” a la hora de hacer las transferencias y el blanqueo a través de las mulas).

Como ejemplo de lo que un troyano puede recolectar, se pueden encontrar datos de un caso real en la siguiente dirección del blog del Laboratorio de Hispasec:

“Un día en la vida de un troyano ‘banker'”:

http://blog.hispasec.com/laboratorio/195