Epsilon: Que ataques se podrían realizar con la información extraída

En mi último post titulado "Robo de datos a Epsilon" hice una breve introducción al incidente de Epsilon y comenté cuales eran  a grandes rasgos los riesgos que implicaba este ataque. En este post quiero profundizar las diferentes acciones que podrían tomar los atacantes.

Inicialmente uno puede llegar a pensar que la información extraída son solo nombres y direcciones de correo electrónico y que en sí no representan un riesgo, pero ésta representa un alto riesgo para las Compañías afectadas, dado que son la piedra fundamental para iniciar diversos ataques contra ellas mismas ó sus clientes.

Hagamos un análisis de las diferentes acciones que podrían tomar los atacantes con la información extraída:

La primera acción que podrían tomar es la simple venta de la información extraída  a la competencia,  ya que ésta les sería de mucho valor dado que contiene datos suficientes para realizar una campaña de Marketing directa. Sin embargo, esta es la acción que menor riesgo para los clientes afectados de Epsilon, ya que en el peor caso, sus clientes serán victimas de SPAM.

La segunda  acción podría ser un ataque del tipo Phishing. Éste es un ataque de ingeniería social masivo que tiene como objetivo engañar a sus víctimas para así lograr su objetivo (obtener información, como ser usuarios, contraseñas y datos de identidad, entre otros).  ¿Cómo se ejecutaría este ataque? Bastante sencillo, ya que consideramos que el atacante posee toda la información necesaria sobre los usuarios finales. A modo de ejemplo,  éste podría simular un correo personalizado del US Bank, Citi ó Best Buy invitando a los clientes a cambiar las contraseñas de su home banking ó cuentas on-line  a causa del robo de información sufrido. Claro que estas acciones se llevarán a cabo en un sitio controlado por el atacante y así  éste obtendrá la información que desea.

Este vector de ataque fue el principal motivo por el cual los clientes afectados de Epsilon notificaron a sus propios clientes sobre el  incidente, ya que éste representa un riesgo y es sabido que una ola de ataques de Phishing es inminente.  

La tercera acción podría ser un ataque del tipo Spear Phishing. A diferencia del Phishing tradicional, este  tipo de ataque es dirigido a una organización ó grupo específico con el objetivo de ingresar a los sistemas y normalmente  se utiliza como parte de un  ataque mayor,  como ser robar información de una compañía.

Un ejemplo de una anatomía de ataque que utilice tanto esta técnica como la información extraída de Epsilon podría ser el siguiente:

1. El atacante analizará la información extraída de Epsilon en búsqueda de una ó varias personas que trabajen en un objetivo de interés (ej. Home Depot Credit Card). Para esto, realizará un arduo trabajo de inteligencia utilizando buscadores  y redes sociales (por ejemplo Google y LinkedIn). Al finalizar esta etapa, tendrá un listado de personas que trabajan en el objetivo y los servicios / preferencias que éstos posean (ej. Cuenta bancaria en el US Bank ó Citigroup).
2. Una vez definidas las personas, diseñará el correo electrónico a enviar. Para esto, la información extraída de Epsilon juega un factor importante, dado que le da realismo al engaño. También incluirá en el correo un adjunto que hará uso de alguna vulnerabilidad conocida (ó desconocida / Zero Day Exploit) para lograr instalar un backdoor (programa oculto de administración remota) en el sistema. A modo de ejemplo, podría diseñarse un correo del US Bank dirigido a la persona (con su nombre y apellido) que contenga un adjunto que diga “promociones”.
3. Si la victima cae presa del Spear Phishing abriendo el adjunto, el atacante habrá logrado instalar el  backdoor  que le  permitirá  ingresar al sistema cuando lo desee.
4. Una vez dentro de la red corporativa, el atacante buscará, mediante técnicas de hackeo tradicionales,  las credenciales necesarias para alcanzar el objetivo del ataque (ej. robar información de tarjetas de crédito de Home Depot Credit Card).
5. Una vez conseguido el acceso a la información, la misma será extraída por Internet a un servidor externo, también bajo el control del atacante. Lo más probable es que comprima la información con una contraseña para evitar ser detectado.
6. Para finalizar, el atacante borrará toda evidencia de su acceso no autorizado a los sistemas.

¿Cuán factible es este ataque? Si recordamos el incidente sufrido por RSA no hace mucho, nos indica que este escenario es posible realizar y muy probable que suceda.

Estos vectores de ataque representan los verdaderos riesgos que enfrentan las compañías y clientes finales afectados por el robo de información a Epsilon. Queda demostrado que toda información personal, ya sean direcciones de correo ó preferencias, deben ser protegidas no solo por su valor en sí, sino también por su utilidad en ataques mayores.

¿Qué es lo que deben hacer las compañías afectadas?

Primero que todo, educar a sus clientes y empleados sobre técnicas de ingeniería social, como ser Phishing. Si utilizan la dirección de correo electrónico como medio de Identificación y Autentificación, deberían considerar realizar un cambio de la misma ó al menos cambiar la contraseña a una contraseña fuerte (ó en el mejor de los casos, implementar un sistema de autentificación en base a dos factores).

En segundo instancia, establecer números de llamadas gratuitas para que los clientes y empleados puedan denunciar intentos de ataques ó realizar consultas. Esto le permitirá a la compañía estar alerta ante los posibles intentos que puedan suceder.