PandaLabs descubre varios kits que permiten a los ciberdelincuentes lanzar ataques de phishing sin coste alguno

- Además de correos electrónicos y páginas de entidades financieras, los kits permiten realizar fraude online utilizando como cebo mails y webs de Gmail, Fotolog o Xbox

Una investigación llevada a cabo por PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha conducido al descubrimiento de una serie de kits de phishing que se ofrecen en diversas páginas de Internet y que permiten a los ciberdelincuentes llevar a cabo envíos de correos fraudulentos sin coste alguno.

Entre las páginas y envíos de correo electrónico que estas herramientas permiten falsear se encuentran decenas de bancos, plataformas de pago online, cuentas de correo como Gmail, Hotmail, o Yahoo!Mail, y también otros como juegos online (robo de contraseñas de Xbox) o blogs (claves de acceso a Fotolog).

“Lo realmente destacable de estos kits es ver cómo se puede llevar a cabo un ataque de este tipo por cero euros”, explica Luis Corrons, director técnico de PandaLabs, que añade: “Debido a facilidades como las que ofrecen este tipo de herramientas, el número de ataques de phishing se multiplica, provocando un gran número de pérdidas a empresas y consumidores. Según datos de Gartner, en 2007 los ataques de phishing causaron, sólo en los Estados Unidos, unas pérdidas de 3,2 billones de dólares a los consumidores*”

El funcionamiento de estos kits de phishing es el siguiente: cuando un usuario accede a una de las URLs desde las que se ofrecen, puede conseguir los archivos que le permitirán crear su correo fraudulento, es decir, un archivo para falsificar los emails de los bancos, plataformas de pago, etc. y otro para crear una página fraudulenta similar a la original. Además, el kit incluye un programa PHP, también gratuito, para enviar emails desde la página falsa creada.

El resto del proceso es similar al de otros casos de phishing: se lanza el email falso a una serie de direcciones de correo. En él se incluye un link que dirige a la página ilegítima en la que los usuarios tendrán que incluir los datos con que los ciberdelincuentes quieren hacerse: direcciones de correo, contraseñas bancarias, etc.

“Para conseguir las direcciones de correo a las que enviar spam, los ciberdelincuentes compran listas de direcciones en Internet aunque también hay formas de conseguir algunas de forma gratuita”, asegura Luis Corrons, que añade: “si sumamos a esto el alojamiento de las páginas falsas en servicios de hosting sin coste alguno, observemos que los ciberdelincuentes pueden preparar un envío de phishing por cero euros”.

El kit de phishing permite también a los ciberdelincuentes decidir cómo quieren recibir esos datos robados. Pueden hacerlo en forma de archivo TXT almacenado en un servidor, como un mensaje en su propio correo, etc.