Los que nos dedicamos a esto de la seguridad, y más en concreto a temas de fraude online y/o análisis de malware, nos "dejamos caer" asiduamente en algún que otro servidor que los atacantes utilizan como parte de su infraestructura.
Te puedes encontrar cualquier cosa, como el interfaz de gestión de la botnet, exploits, kits, fuentes y muestras de malware, logs de los sistemas infectados, datos capturados a las víctimas, etc. Con este tipo de información más o menos te puedes hacer una idea de la magnitud de ese ataque en concreto, aunque realmente desconoces que datos han explotado en su beneficio. Si te encuentras logs de usuarios y contraseñas de 25.000 usuarios (un caso de hace unos días), ni mucho menos quiere decir que los atacantes hayan estafado a todos, ni siquiera a un porcentaje significativo.
En otro caso de principios de agosto, en uno de los servidores relacionados con un ataque de malware, encontramos algo menos usual, capturas de pantalla de transferencias bancarias. Tres de las capturas tenía como ordenante de la transferencia la cuenta de una empresa inmobiliaria de EEUU de cierta envergadura (venden edificios) con destino a diferentes cuentas, una del 31 de julio por importe de $65,895, otra del 2 de agosto por $41,896 y una tercera el 3 de agosto de $32,000.
No podemos ni afirmar ni desmentir que dichas transferencias formaran parte de un fraude. Si bien, tiene sentido que para los phishers y estafadores tenga especial interés las cuentas de grandes empresas. Por un lado, a diferencia de los particulares, deben tener unos límites altos a la hora de realizar operaciones (pueden sacar una buena tajada de una vez), por otro los movimientos serán más constantes que en una cuenta personal y las transferencias pueden pasar más desapercibidas a corto plazo (hasta que no le cuadren las cuentas a contabilidad).
¿Estamos ante un phisher haciendo su particular agosto?
