Redacción 6 abril, 2019
Hackers en Facebook, todo vale en e negocio turbio

Cisco Talos está trabajando continuamente para garantizar que nuestra inteligencia de amenazas no solo explique las amenazas más recientes, sino también las nuevas versiones de amenazas antiguas, como el spam.

Esto a menudo significa perseguir a los delincuentes cibernéticos dondequiera que se congregan. Sin embargo, en lugar de manejar y tratar con servidores ocultos en alguna misteriosa dirección de la web oscura, un número sorprendentemente grande de cibercriminales cibernéticos prefieren operar directamente a través de las redes sociales.

Por ejemplo, Facebook es sede de docenas de grupos que sirven como mercados en línea e intercambios de ciberdelincuentes. Talos vio el spam de los servicios anunciados en estos grupos de Facebook en nuestros propios datos de telemetría, lo que indica un impacto potencial para los clientes de Cisco de estos grupos.

Durante los últimos meses, Cisco Talos ha rastreado a varios grupos en Facebook donde frecuentemente se realizan actividades sombrías (en el mejor de los casos) e ilegales (en el peor de los casos). 

La mayoría de estos grupos usan nombres de grupo bastante obvios, como «Spam Professional», «Spammer & Hacker Professional», «Compre Cvv en esta tienda, PAGO POR BTC 💰💵» y «Facebook hack (Phishing)». 

A pesar de los nombres bastante obvios, algunos de estos grupos han logrado permanecer en Facebook por hasta 8 años, y en el proceso han adquirido decenas de miles de miembros del grupo.

En total, Talos ha compilado una lista de 74 grupos en Facebook cuyos miembros prometieron llevar a cabo una serie de cuestionables acciones cibernéticas, incluida la venta y el intercambio de información robada de tarjetas de crédito / bancos, el robo y la venta de credenciales de cuenta de una variedad de sitios, y herramientas y servicios de correo no deseado. 

En total, estos grupos tenían aproximadamente 385,000 miembros.

Estos grupos de Facebook son bastante fáciles de localizar para cualquier persona que posea una cuenta de Facebook. Una búsqueda simple de grupos que contengan palabras clave como «spam», «carding» o «CVV» generalmente arrojará múltiples resultados. Por supuesto, una vez que uno o más de estos grupos se han unido, los propios algoritmos de Facebook a menudo sugieren grupos similares, lo que hace que sea más fácil encontrar nuevos lugares de reunión de delincuentes. Facebook parece depender de los usuarios para informar a estos grupos de actividades ilegales e ilícitas para frenar cualquier abuso.

Inicialmente, Talos intentó eliminar estos grupos individualmente a través de la funcionalidad de informes de abuso de Facebook. Si bien algunos grupos se eliminaron de inmediato, a otros grupos solo se les eliminaron publicaciones específicas. Finalmente, a través del contacto con el equipo de seguridad de Facebook, la mayoría de los grupos malintencionados fueron eliminados rápidamente, sin embargo, nuevos grupos siguen apareciendo y algunos todavía están activos a partir de la fecha de publicación. Talos continúa cooperando con Facebook para identificar y eliminar la mayor cantidad posible de estos grupos. 

Este no es un problema nuevo para Facebook. En abril de 2018, el reportero de seguridad Brian Krebs alertó al sitio de redes sociales de decenas de grupos de Facebooken el que los piratas informáticos ofrecían de forma rutinaria una variedad de servicios que incluían el uso de tarjetas (el robo de información de tarjetas de crédito), el fraude electrónico, el fraude de devolución de impuestos y los ataques de denegación de servicio distribuido (DDoS).

Meses después, aunque los grupos específicos identificados por Krebs habían sido deshabilitados permanentemente, Talos descubrió un nuevo conjunto de grupos, algunos con nombres muy similares, si no idénticos, a los grupos informados por Krebs.

Dentro del mercado criminal de pulgas en línea

Muchas de las actividades en estas páginas son totalmente ilegales. Por ejemplo, descubrimos varias publicaciones en las que los usuarios vendían números de tarjetas de crédito y los CVV que los acompañaban, a veces con documentos de identificación o fotos pertenecientes a las víctimas.

También se promocionaron otros productos y servicios. Vimos spammers que ofrecían acceso a grandes listas de correo electrónico, delincuentes que ofrecían asistencia para mover grandes cantidades de efectivo y ventas de cuentas ficticias en varias organizaciones, incluido el gobierno.

Incluso vimos a los usuarios ofrecer la capacidad de falsificar / editar documentos de identificación.

La mayoría de las veces, estos vendedores solicitaron el pago en forma de criptomonedas. 

Otros emplean el uso de los llamados «intermediarios», que actúan como intermediarios entre el comprador y el vendedor de la información y reducen los beneficios. Estos usuarios generalmente promovían el uso de cuentas de PayPal para completar la transacción.

No está claro, según estos grupos, qué tan exitosos o legítimos son algunos de los usuarios. 

A menudo hay quejas publicadas por miembros del grupo que han sido estafados por otros miembros del grupo. 

En la mayoría de los grupos, hay una etiqueta y una forma particulares a las publicaciones. Normalmente los vendedores describirán lo que tienen frente a lo que quieren. 

Casi todas las transacciones son «usted primero» (escrito como «U_f», «uf», etc.), lo que significa que la persona interesada en realizar la compra o la transacción tiene que pagar o proporcionar su servicio o producto por adelantado. 

Al igual que muchos otros grupos de Facebook, estos grupos de estafadores también existen como un foro para que los estafadores compartan chistes sobre algunas de sus campañas menos exitosas.

Estafadores en la naturaleza

Una cosa es segura, a pesar de que algunos miembros del grupo solo parecen estar dispuestos a estafar a otros miembros, otros están en la libertad cometiendo crímenes que aparecen en los datos de Talos. Por ejemplo, a continuación hay una publicación de uno de los grupos de Facebook que Talos estaba monitoreando.

En la publicación, el spammer está anunciando servicios de spamming, que prometen llevar su phish con el tema de Apple a la carpeta de la bandeja de entrada de Hotmail y Yahoo. Ellos incluyeron una captura de pantalla que muestra el spam que recibieron en su bandeja de entrada.

Talos pudo localizar ejemplos de este mismo phish en nuestros datos de telemetría. Basados ​​en las muestras de correo electrónico que Talos recuperó para su análisis, los atacantes habían adjuntado un archivo PDF que decía ser una factura por una compra en Apple. El PDF incluye enlaces para ver o cancelar su pedido.

Un análisis dentro de la zona de pruebas de malware de ThreatGrid indica que cuando el usuario selecciona ver o cancelar el pedido, el enlace dirige a la víctima a un sitio web de phishing ubicado en un dominio registrado recientemente: appleid [.] Apple.com.verifysecureinfomanage.info . 

El sitio web de suplantación de identidad (phishing) en sí mismo se creó con «16Shop», un infame kit de suplantación de identidad que se sabe está dirigido a usuarios de Apple.

La investigación de Cisco Umbrella indica que la dirección IP utilizada para albergar el dominio de phishing también alberga muchos otros nombres de dominio de apariencia sospechosa que probablemente se hayan utilizado para estafas similares en el pasado.

Este no es el único ejemplo en nuestros datos que encontramos con respecto a este tipo de actividad ilícita que siguieron las publicaciones en los grupos de Facebook que venden las mismas herramientas, técnicas o servicios que utiliza el estafador. Algunos miembros del grupo de hecho «caminan por el camino» cuando se trata de perpetrar este tipo de delitos en línea.

Conclusión

Las redes sociales han proporcionado herramientas que permiten a personas de todo el mundo reunirse y compartir ideas. Esta es una de las características definitorias de las redes sociales. 

Sin embargo, los algoritmos informáticos subyacentes que nos ayudan a conectarnos, lo que sugiere nuevos amigos o redes, no son lo suficientemente inteligentes como para distinguir las actividades benignas de las no éticas o simplemente ilegales. 

Hasta ahora, al parecer, Facebook se ha basado en estas comunidades para controlarse a sí mismos, lo cual, por razones obvias, estas comunidades delictivas son reticentes. 

Como consecuencia de esto, un número considerable de estafadores cibernéticos han continuado proliferando y beneficiándose de actividades ilegales. 

Operando con impunidad, estos atacantes sondean implacablemente las ciber-defensas de empresas en todo el mundo.

Para combatir a estos adversarios motivados, tenemos que trabajar juntos. 

Las plataformas de medios sociales deben continuar sus esfuerzos, tanto manuales como automatizados, dirigidos a identificar y eliminar grupos maliciosos. 

Los equipos de seguridad y los proveedores deben trabajar juntos para compartir activamente la información, tomar medidas e informar a nuestros clientes. 

Las empresas deben ser diligentes en cuanto a su protección y esfuerzos de higiene cibernética. 

Y, por último, los consumidores deben estar lo más informados y escépticos posible. 

Ataques como el spam atacan al individuo como punto de entrada. 

Nota: si los usuarios se encuentran con grupos maliciosos en Facebook, siempre pueden informar a los grupos a través de la función de «informe» de Facebook, que se encuentra en la parte superior de la página del grupo en el menú desplegable debajo del botón «… Más».

 

 

 

Por Jon Munshaw y Jaeson Schultz .