¿No hay reproductor de audio debajo? Escuchar directamente en Soundcloud.

DOUG.  Skimmers de cajeros automáticos, servidores ransomware y una advertencia del FBI.

Todo eso, y más, en el podcast de Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Paul, ¿cómo está hoy, señor?

PATO.  ¡Muy bien, Douglas!

DOUG.  Excelente.

Esta semana: el 14 de agosto de 1982 fue designado oficialmente como Día Nacional de los Habladores de Claves Navajo.

Una proclamación del entonces presidente Ronald Reagan dice en parte:

En medio de los combates en el Pacífico durante la Segunda Guerra Mundial, un valiente grupo de hombres de la Nación Navajo utilizó su idioma en forma codificada para ayudar a acelerar la victoria aliada.

Los Code Talkers confundieron al enemigo con un montón de sonidos nunca antes escuchados por los expertos en códigos.

Entonces, Paul, analicemos ahora qué tiene que ver esto con la tecnología.

PATO.  Como sabrán los oyentes habituales de podcasts, porque hemos hablado de cosas como la máquina Enigma, que se usó en el teatro de guerra europeo, y la máquina de cifrado Lorenz, que se usó para las propias comunicaciones de Hitler con su estado mayor... hemos habló sobre descifrar esas máquinas de cifrado automatizadas.

Los estadounidenses tuvieron éxitos similares contra algunas de las máquinas de cifrado japonesas, como PURPLE, que era un cifrado electromecánico basado en interruptores telefónicos giratorios.

Pero dado que la lucha en el Pacífico fue en gran medida cuerpo a cuerpo en islas pequeñas y selváticas, un tipo de guerra aterrador...

…incluso si hubieran tenido el equivalente de la máquina Enigma en portabilidad, simplemente no había tiempo ni espacio para usarla.

Y entonces se decidió que tal vez un idioma nativo americano podría usarse esencialmente como un código de texto claro, porque esos idiomas no habían sido estudiados ampliamente por nadie en Europa o Japón.

Y, por lo tanto, al hablar rápida pero claramente, y al usar palabras clave predeterminadas para cosas que aún no existían en el idioma navajo (porque en toda su extensa historia lingüística, nunca habían necesitado términos de guerra moderna), tal vez podía comunicarse en lo que era un texto claro para los hablantes, pero aún así sería impenetrable para quienes interceptaban las transmisiones.

¡Y así fue!

Lo realmente, terriblemente valiente de todo esto es que estos tipos no eran solo operadores de máquinas de cifrado, Doug.

Eran marines estadounidenses; formaban parte del cuerpo de combate de élite.

Así que tuvieron que hacer el entrenamiento de los Marines de los EE. UU. [RISAS] (no debería reírme) y estar allí, en el fragor del combate, en condiciones terribles y, sin embargo, en un momento dado, poder agachar la cabeza. presione y hable clara e inteligiblemente (y sin embargo indescifrable al enemigo).

Aparentemente, un alto oficial japonés, después de la guerra, admitió que aunque habían logrado un progreso considerable en descifrar algunos de los cifrados de la Fuerza Aérea de los EE.

DOUG.  Muy buena historia.

Muy bien, también tenemos un lenguaje sencillo y directo de la Oficina Federal de Investigaciones.

Esta es una advertencia sobre aplicaciones móviles de prueba beta.

Hemos hablado de esto extensamente antes, estas llamadas estafas al estilo TestFlight.

No van a desaparecer, Paul.

El FBI advierte sobre estafas que lo atraen como probador beta móvil

PATO.  No.

Ahora, el FBI obedientemente no ha mencionado plataformas y tecnologías específicas.

Supongo que tiene que tener cuidado con sus palabras porque no quiere sugerir que un proveedor específico tiene más culpa que cualquier otro, y no quiere dar a entender que, "Oh, bueno, si está usando un proveedor de Google dispositivo y no un dispositivo de Apple, no tienes que preocuparte por nada de esto".

Y, de hecho, el consejo que pusieron al final de su anuncio de servicio público, que se titula Los ciberdelincuentes se dirigen a las víctimas a través de aplicaciones móviles de prueba beta, es un conjunto general de consejos que debe usar para no dejarse atrapar por la ejecución de aplicaciones dudosas, sin importar de dónde provengan.

Pero tiene razón en que, particularmente para los usuarios de iPhone, puede haber una sensación de presunción en la perspectiva de seguridad de algunas personas, porque saben que solo pueden obtener aplicaciones de la App Store.

Y por mucho que a veces se sientan celosos de sus amigos que usan Android y que pueden salir del mercado y descargar lo que quieran, al menos piensan: "Bueno, no voy a descargar una aplicación totalmente deshonesta por error".

Y, sin embargo, como hemos discutido muchas veces en nakedsecurity.sophos.com y en news.sophos.com, hay dos trucos realmente desagradables que los delincuentes pueden usar si tiene un iPhone.

Una es que pueden fingir que usted está ingresando durante los primeros días de una nueva empresa que está comenzando.

Por lo tanto, los delincuentes lo alientan a registrar su teléfono en su programa corporativo de administración de dispositivos móviles [MDM], que normalmente se reserva para brindarle a un departamento de TI un control muy íntimo sobre los teléfonos que posee, o por los que paga, y entrega al personal.

La otra forma es decirle a la persona: “Sabes qué, esta es una aplicación completamente nueva. No mucha gente tiene esto. Así que tienes que registrarte en este programa beta especial”.

Apple hace esto haciendo que descargues una aplicación especial llamada TestFlight; luego puede descargar aplicaciones que no pasan exactamente por la misma verificación que las aplicaciones que existen en la App Store.

Y, por supuesto, debido a que es un programa beta, la aplicación aún no se ha lanzado.

Por lo tanto, falta toda la evidencia que podría buscar, toda la información colateral que podría decirle si se trata de una aplicación buena o mala, y está confiando completamente en la persona que le dice: "Sí, puede confiar". a nosotros. Permítanos inscribir su teléfono en nuestra 'compañía especial' (estoy usando comillas gigantes) o únase a nuestro 'programa beta especial' solo con invitación”.

DOUG.  Sí, creo que TestFlight limita el número de evaluadores a 10,000, por lo que los delincuentes deben ser mucho más específicos.

Cuando hablamos de esto en el pasado, estaban bajo la apariencia de estafas románticas, en las que tal vez comenzarías en un sitio de citas, y si me dirijo a alguien, es posible que en realidad no intente involucrarme románticamente con ellos, pero digo , "¿Seamos amigos? ¿A qué te dedicas? Tengo esta compañía que está comenzando esta nueva cosa criptográfica que realmente va a ser un éxito, y te dejaré entrar a este pequeño club exclusivo”.

Entonces, este tipo de cosas comienzan como una "quema lenta" bajo la apariencia de amistad y "puedes confiar en mí"... y luego te diré que hagas todo esto en tu teléfono.

PATO.  En este caso, como dices, es una especie de romance, pero de un tipo diferente: "¿Te encantaría ganar mucho dinero?"

Entonces, como dices, es que se quema más tiempo.

Y en algunas de estas estafas que nuestros colegas Jagadish Chandraiah y Sean Gallagher han escrito en news.sophos.com (tienen el nombre estafas de bloques de corte or estafas de matanza de cerdos, porque ese es el nombre bastante feo con el que se les conoce en chino, porque están muy extendidos, al parecer, en el sudeste asiático)… así es como se desarrollan.

Alguien se hará amigo; recibirán muchas llamadas; recibirán muchos mensajes; obtendrán un contacto aparentemente personalizado.

Realmente tendrán un amigo y un confidente que los animará a instalar una aplicación de una de estas extrañas formas.

Nadie más puede descargarla... las únicas personas que obtienen la aplicación son las personas preseleccionadas para unirse a este club por los estafadores que se preocupan por sus peores intereses.

DOUG.  Muy bien, según nuestra investigación, algunas de estas, especialmente las estafas financieras: es una aplicación agradable y elegante en la que pones algo de dinero, y parece que tu dinero está subiendo, y luego retiras algo... te dejan retirar alguno; ¿básicamente te devuelven algo de tu propio dinero?

PATO.  Sí, porque obviamente, si fueran verdaderos estafadores, no te dejarían retirar ni un centavo, ¿verdad?

DOUG.  Exactamente.

PATO.  Pero como dices, todo lo que están haciendo es devolverte un poco de tu propio dinero.

DOUG.  Y ahora, “Mira, sacaste este dinero, ¡pero mira qué rápido está subiendo! ¡Deberías haber puesto más! ¡Deberías haberlo guardado!”

Luego te persiguen con una factura de impuestos que dice: "Oh, tienes que pagar impuestos sobre esto".

PATO.  Absolutamente.

Y esa estafa de "retención de impuestos" al final... He oído a la gente decir: "¿Quién caería en eso?"

Pero el punto es que entraste aquí con lo que pensabas que eran tus ojos bien abiertos, porque habías "conocido" a esta persona; aparentemente te habías hecho amigo de ellos; no fue como si fueras a buscar una inversión en criptomonedas.

Encontraste a una persona en un sitio de citas, “Oh, bueno, solo vamos a ser amigos. No estamos interesados ​​en ningún compromiso romántico”.

Entonces, al final, la historia es: “Está bien, es un buen momento para cobrar. Si quieres el dinero, puedes sacarlo, pero desafortunadamente el gobierno ha congelado la cuenta y tienes que pagarles el impuesto por adelantado, y solo entonces puedes retirar el monto total”.

“No podemos liberar el dinero y hacer lo que se llama una retención de impuestos (que es donde simplemente sacas el impuesto adeudado del dinero que ya tienes) porque la cuenta está congelada”.

“Tengo que advertirte, eso es una mala señal, podrían estar persiguiéndote, así que necesitas salir ahora. Envíanos el dinero extra; ve y pídelo prestado a tus amigos; pregúntale a tu mamá; pregúntale a tu tía; pregúntale a tu hermano, ¡solo junta el dinero!”

Y, por supuesto, solo estás tirando dinero malo tras bueno, ¡así que no hagas eso!

DOUG.  Muy bien, tenemos algunos otros consejos en la publicación, así que échale un vistazo en nakedsecurity.sophos.com.

Pasemos al robo de tarjetas de cajero automático.

Esto sigue siendo una cosa, y lo ha sido durante tanto tiempo, que yo, desde hace años, Paul, ¡he estado tirando de las ranuras de las tarjetas de crédito en cada estación de servicio y cajero automático que visito!

"Agárralo y muévelo": el robo de tarjetas de cajero automático sigue siendo una cosa

PATO.  Sí, hace mucho tiempo que no escribimos sobre eso en Naked Security, porque las noticias sobre el llamado robo de cajeros automáticos han disminuido.

Obviamente, vivimos en un mundo de tocar para pagar y de chip y PIN, al menos fuera de los Estados Unidos.

Así que estamos acostumbrados a la idea de que rara vez, o nunca si estás en Europa o en el Reino Unido, deslizas tu tarjeta.

Pero los cajeros automáticos siempre aceptan su tarjeta, ¿no es así?

Lo pones en una ranura y succiona tu tarjeta directamente.

Para los ladrones, eso significa que tienen la oportunidad, con hardware adicional, de leer la banda magnética.

Y el otro problema con un cajero automático, incluso si está dentro del propio banco, o en el pequeño vestíbulo del cajero automático en la entrada de un banco o un tribunal bancario... hay un montón de lugares en un cajero automático, superficies y ángulos extraños y salientes. bits, donde un ladrón puede conectar algún tipo de dispositivo de vigilancia, como una cámara, sin que sea realmente obvio.

DOUG.  Sí, esta foto que tienes en el artículo es salvaje.

Solo hay un pequeño orificio en el mecanismo de la tarjeta que aparentemente está disparando hacia el teclado.

Simplemente muy pequeño.

Realmente tendrías que estar buscándolo.

PATO.  La historia que escribimos esta semana provino de la Policía de Queensland en Australia.

Esa imagen es de un aviso antidesnatado de la policía de Queensland de hace poco más de diez años.

Y puede imaginar cómo ha evolucionado la tecnología desde entonces: las cámaras son más pequeñas; es fácil comprar placas base de computadora integradas de sistema en chip listas para usar que hacen más de lo que necesita para robar PIN.

Así que la idea de estos ladrones de robo de cajeros automáticos es que no solo están interesados ​​en los detalles de su tarjeta, como lo estaría un phisher web.

Están interesados ​​en obtener el PIN que desbloquea su tarjeta.

Y recuerda: ese PIN, ya sea que tengas una tarjeta antigua con banda magnética o una tarjeta con un chip seguro… el PIN nunca se almacena en la tarjeta.

Esa es toda la idea.

Ni siquiera está impreso en la tarjeta, como el código de seguridad en el reverso.

Y esa es la ventaja, si se quiere, de los cajeros automáticos para desnatar a los ladrones.

A diferencia de los dispositivos en la cafetería donde la mayoría de las veces no ingresa su PIN (solo toca su tarjeta), los cajeros automáticos siempre le obligan a ingresar su PIN.

Es lo primero que hace para desbloquear los menús y luego decide qué quiere hacer a continuación.

Y, como dices, existen todos estos lugares donde las cámaras pueden esconderse.

Si miras el video que la policía de Queensland subió de este arresto, hay una gran persecución a pie donde los ladrones están tratando de escapar desesperadamente.

¡Pero debo decir [RISAS] que el cobre de Queensland estaba mucho más en forma!

DOUG.  [RISAS] Sí, tenía una buena pista sobre el policía, y yo estaba como, "¡Oh, se va a escapar!"

Entonces fue: "¡Oh, no, no se va a escapar!" [RISAS]

PATO.   Entonces, es una gran historia porque también muestra cómo funcionó todo el proceso de investigación.

Sabían que se estaba realizando un desnatado, por lo que sabían a qué prestar atención.

Pudieron dar la alarma a las entidades financieras, que estaban atentas a los dispositivos; uno de ellos encontró uno.

Presumiblemente, me imagino que el banco lo habría puesto fuera de servicio, diciendo: "Oh, hay una falla en la máquina".

Entonces los ladrones saben, “¡Oh, oh! Si alguien viene a reparar el cajero automático, se dará cuenta del skimmer, así que será mejor que vayamos y lo recuperemos”, sin saber que los policías están mirando.

Eso luego condujo a una orden para visitar una dirección y arrestar a una tercera persona.

Y en un buen cierre, parece que, debido a que tenían la orden judicial y registraron la propiedad, los policías alegan que también encontraron una tarjeta de identificación falsa que casualmente estaba a nombre de la persona inexistente a la que se le había robado el original. se habían abordado los dispositivos que desencadenaron la investigación.

Así que hay algo bueno que te muestra cómo los policías puntúan sus I y cruzan sus T en investigaciones de este tipo.

Y también cómo la cooperación entre la policía y las instituciones financieras puede ayudar a acabar con esto.

Como dices, "Agárralo y muévelo".

Si no se ve bien, no use el cajero automático.

Y el hecho de que esté dentro de una sucursal bancaria, o dentro del vestíbulo de un cajero automático, no ayuda.

En el artículo, cuento una historia en la que los delincuentes decidieron que querían filmar los PIN de los cajeros automáticos que estaban en el banco.

Sabían que no podían pegar la cámara al cajero automático, porque sabían que el personal lo inspeccionaba rigurosamente todas las mañanas.

Así que pusieron la cámara, Doug, en un porta folletos al lado del cajero automático... ¡y el banco no había pensado en eso!

Todas las mañanas, el personal salía y se aseguraba de que estuviera correctamente lleno de folletos, para un disfraz adicional.

Por lo tanto, sea consciente de su entorno cada vez que utilice un cajero automático.

El hecho de que esté usando uno en un vestíbulo bancario aparentemente seguro y bien iluminado... puede hacerlo por su seguridad personal, pero aún necesita proteger su código PIN muy bien mientras escribe su PIN, solo en caso.

No está almacenado en la tarjeta, por lo que una cámara es una de las pocas formas en que los delincuentes pueden acceder a ella.

DOUG.  Muy bien, gran consejo.

Sigamos con el tema del crimen aquí.

Se cerró un host a prueba de balas, que se usó para ataques de ransomware (malos también: el ransomware NetWalker, que atacó hospitales durante COVID-19).

Resultó no ser tan a prueba de balas después de todo.

Servidor de Crimeware utilizado por NetWalker ransomware incautado y cerrado

PATO.  En efecto: lolekhosted.net.

Todavía puede visitar el sitio, por lo que el sitio aún está en línea, pero recibirá un aviso de "Este dominio ha sido incautado", cortesía de la Oficina Federal de Investigaciones de los Estados Unidos.

La parte buscada es un ciudadano polaco, pero como el FBI tuvo que decir irónicamente en su propio informe, “Grabowski sigue siendo un fugitivo”.

Así que todavía no lo tienen.

Y aparentemente pudo administrar este sitio durante muchos años antes de que obtuvieran el derecho de eliminarlo.

Por mucho que esto parezca un caso de "demasiado poco y demasiado tarde"...

(A) Creo que deberíamos elogiar lo que el FBI y otros han podido hacer, aunque no parezca mucho.

(B) Apuesto a que hay muchas personas que usaron ese servicio, tal vez para algunos delitos cibernéticos menores, que ahora están temblando, preguntándose si su información estaba entre las cosas incautadas como parte de toda la investigación.

Y (C), es una oportunidad para que el FBI presente un gran recordatorio sobre cómo incluso las cosas aparentemente pequeñas, como los servicios de alojamiento que ayudan en los delitos cibernéticos, pueden generar mucho dinero y causar mucho daño.

En particular, querían vincular este con la banda de ransomware NetWalker.

DOUG.  Entonces, ¿cómo proteges un host?

PATO.  Bueno, el FBI en realidad tiene un buen resumen de lo que los "anfitriones a prueba de balas" prometen a sus clientes, al escribir lo que supuestamente hizo este sospechoso en particular.

Voy a leer esto, porque es muy útil:

Grabowski supuestamente facilitó las actividades delictivas de sus clientes al permitirles registrar cuentas con información falsa, no mantener registros de direcciones IP de los servidores de los clientes, cambiar con frecuencia la dirección IP de los servidores de los clientes (lo que lo mantiene fuera de las listas de bloqueo) e ignorar las denuncias de abuso realizadas por terceros.

Ah, y también notificó a la gente cuando pensó que la policía los perseguía.

Así que proporcionó una especie de "servicio de chismes", que legalmente se supone que no debe hacer.

Claramente, como usted dijo desde el principio, este servicio no era tan infalible como podría haber pensado su perpetrador, y como podrían haber creído sus clientes.

Así que realmente te queda decir, Doug...

DOUG.  ¡Estaremos atentos a esto!

PATO.  Puede que no sea obvio lo que viene después, porque el FBI no tiene que decir exactamente qué fragmentos de inteligencia obtuvo de qué redadas, pero con mucha frecuencia lo hace.

Así que será realmente interesante ver lo que sucede a continuación.

DOUG.  Muy bien, tenemos un comentario de alguien que pasa por H, que dice:

Creo que si se necesitan 10 años y quién sabe cuántas horas-hombre para atrapar a uno solo de estos tipos, entonces los ladrones tienen un mejor modelo de negocios que cualquiera de las compañías de alta tecnología.

Lo cual creo que es probablemente un sentimiento compartido por mucha gente.

Hay mucho trabajo en estos arrestos, y el tipo sigue prófugo.

Pero el hecho es que esto es cortarle la cabeza a una Hidra, y estos tipos están actuando ilegalmente.

Por eso es un “modelo de negocio” tan bueno.

¡No están jugando con ninguna regla!

PATO.  Sí.

No es que tengan un modelo de negocio *mejor*, es que tienen uno *ilegal*, y su objetivo es ganar dinero ilegalmente.

Supongo que tiene la intención de hacer una pequeña broma a la policía, ¿no?

"Oh, te tomó tanto tiempo".

Pero como mencionamos en esa historia de la Policía de Queensland sobre el busto desnatado, que les insto a que vayan y lean, porque es breve, se absorbe fácilmente, pero les muestra cuántas ruedas dentro de las ruedas hay...

…incluso en una investigación aparentemente simple, no es solo una cuestión de, “Oh, encontramos el skimmer, vamos a arrancarlo, y el trabajo está hecho”.

DOUG.  ¡Todo ayuda!

Muy bien, gracias, H.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @nakedsecurity.

Ese es nuestro programa de hoy; muchas gracias por escuchar

Para Paul Ducklin, soy Doug Aamoth, les recuerdo hasta la próxima para...

AMBAS COSAS.  Mantente seguro.

[MÓDEM MUSICAL]