EL Oficina Federal de Investigaciones (FBI) insta a los departamentos de policía y a los gobiernos de todo el mundo a fortalecer la seguridad de sus sistemas de correo electrónico, citando un aumento reciente en la cantidad de servicios cibercriminales que utilizan cuentas de correo electrónico policiales pirateadas para enviar citaciones no autorizadas y solicitudes de datos de clientes de tecnología con sede en EE. UU. empresas.
En una alerta (PDF) publicado esta semana, el FBI dijo que ha visto un aumento en las publicaciones en foros criminales sobre el proceso de Solicitud de datos de emergencia (EDR) y la venta de identificaciones de correo electrónico robadas a departamentos de policía y agencias gubernamentales.
«Los ciberdelincuentes probablemente tengan acceso a direcciones de correo electrónico comprometidas de gobiernos estadounidenses y extranjeros y las utilicen para realizar solicitudes fraudulentas de datos de emergencia a empresas con sede en Estados Unidos, exponiendo la información personal de los clientes para su uso posterior con fines delictivos», advirtió el FBI.
En los Estados Unidos, cuando las autoridades federales, estatales o locales desean obtener información sobre una cuenta con un proveedor de tecnología (como la dirección de correo electrónico de la cuenta o las direcciones de Internet utilizadas por una cuenta de teléfono celular específica en el pasado), deben presentar una orden oficial o citación.
Prácticamente todas las grandes empresas de tecnología que atienden a un gran número de usuarios en línea tienen departamentos que revisan y procesan periódicamente dichas solicitudes, que generalmente se conceden (posiblemente y al menos en parte) siempre que se proporcione la documentación adecuada y la solicitud parezca provenir de una dirección de correo electrónico. conectado a un nombre de dominio real del departamento de policía.
En algunos casos, un ciberdelincuente se ofrecerá a falsificar una citación aprobada por el tribunal y enviarla a través de una cuenta de correo electrónico pirateada de la policía o del gobierno. Pero cada vez más, los ladrones confían en EDR falsos, que permiten a los investigadores dar fe de que las personas sufrirán daños físicos o morirán a menos que se conceda rápidamente una solicitud de datos de la cuenta.
El problema es que estos EDR eluden en gran medida cualquier revisión formal y no exigen que el solicitante presente documentos aprobados por el tribunal. Además, es difícil para una empresa que recibe uno de estos EDR determinar inmediatamente si es legítimo.
En este escenario, la empresa receptora se encuentra atrapada entre dos resultados desagradables: no cumplir inmediatamente con un EDR (y potencialmente tener las manos con sangre de alguien) o posiblemente revelar el registro de un cliente a la persona equivocada.
Quizás no sea sorprendente que la tasa de respuesta a estas solicitudes sea extremadamente alta. Por ejemplo, en su más reciente informe de transparencia (PDF) Verizon dijo que recibió más de 127.000 solicitudes policiales de datos de clientes en la segunda mitad de 2023, incluidas más de 36.000 EDR, y que la empresa proporcionó registros en respuesta a aproximadamente el 90% de las solicitudes.
Un cibercriminal de habla inglesa que recibe el sobrenombre de “Pwnstar» Y «pwnipotente» vende servicios EDR falsos en foros de cibercrimen rusos e ingleses. Sus precios oscilan entre 1.000 y 3.000 dólares por solicitud exitosa y afirman controlar «correos electrónicos gubernamentales de más de 25 países», incluidos Argentina, Bangladesh, Brasil, Bolivia, República Dominicana, Hungría, India, Kenia, Jordania, Líbano, Laos y Malasia. , México, Marruecos, Nigeria, Omán, Pakistán, Panamá, Paraguay, Perú, Filipinas, Túnez, Turquía, Emiratos Árabes Unidos (EAU) y Vietnam.
«No puedo garantizar al 100% que se cumplirán todos los pedidos», explicó Pwnstar. “Esto es ingeniería social al más alto nivel y a veces habrá intentos fallidos. No te desanimes. Puede utilizar el depósito en garantía y le reembolsaré el importe total si la EDR no se aprueba y no recibe su información.
Un anuncio de Pwnstar sobre servicios EDR falsos.
Una revisión de los proveedores de EDR en muchos foros sobre delitos cibernéticos muestra que algunos proveedores de EDR falsos venden la capacidad de enviar aplicaciones policiales falsas a plataformas de redes sociales específicas, incluidos documentos falsos aprobados por los tribunales. Otros simplemente venden acceso a cuentas de correo electrónico gubernamentales o policiales pirateadas y dejan que el comprador falsifique todos los documentos necesarios.
«Cuando obtienes una cuenta, es tuya, tu cuenta, tu responsabilidad», se lee en un anuncio de octubre en Foros de infracción. “Solicitudes ilimitadas de datos de emergencia. Una vez pagadas, las credenciales te pertenecen enteramente. Restablecer como desee. Deberá falsificar documentos para completar con éxito una solicitud de datos de emergencia.
Otros proveedores de servicios EDR falsos afirman vender cuentas pirateadas o creadas de forma fraudulenta en Códiceuna startup que tiene como objetivo ayudar a las empresas de tecnología a filtrar mejor las solicitudes de datos falsos de las autoridades. Kodex está tratando de resolver el problema de los EDR falsos trabajando directamente con proveedores de datos para reunir información sobre la policía o los funcionarios gubernamentales que envían estas solicitudes, con el objetivo de que sea más fácil para cualquiera detectar un EDR no autorizado.
Si la policía o los funcionarios gubernamentales quieren solicitar información sobre los clientes de Coinbase, por ejemplo, primero deben crear una cuenta en Kodexglobal.com. Luego, los sistemas de Kodex asignan a ese solicitante una puntuación o calificación crediticia, en la que los funcionarios que tienen un largo historial de envío de solicitudes legales válidas tendrán una calificación más alta que alguien que envía un EDR por primera vez.
No es raro ver proveedores de EDR falsos que afirman tener la capacidad de enviar solicitudes de datos a través de Kodex, y algunos incluso comparten capturas de pantalla redactadas de cuentas de fuentes en Kodex.
Matt Donahue es el ex agente del FBI que fundó Kodex en 2021. Donahue dijo que el hecho de que alguien pueda usar una dirección de correo electrónico legítima del departamento de policía o del gobierno para crear una cuenta Kodex no significa que el usuario pueda enviar cualquier cosa. Donahue dijo que incluso si un cliente recibe una solicitud falsa, Kodex puede evitar que le suceda lo mismo a otro.
Kodex le dijo a KrebsOnSecurity que durante los últimos 12 meses ha procesado un total de 1597 EDR y que 485 de esas solicitudes (~30%) no pasaron una verificación de segundo nivel. Kodex informa haber suspendido a casi 4.000 usuarios encargados de hacer cumplir la ley durante el año pasado, entre ellos:
-1.521 de la región de Asia y el Pacífico;
-1.290 solicitudes de Europa, Oriente Medio y Asia;
-460 agencias y departamentos encargados de hacer cumplir la ley de los Estados Unidos;
-385 de entidades latinoamericanas, y;
-285 de Brasil.
Donahue dijo que 60 empresas de tecnología ahora envían todas las solicitudes de datos policiales a través de Kodex, incluido un número creciente de instituciones financieras y plataformas de criptomonedas. Dijo que una preocupación compartida por los clientes potenciales recientes es que los estafadores buscan utilizar solicitudes policiales falsas para congelar y, en algunos casos, confiscar fondos de cuentas específicas.
«Lo que esta confundido [with EDRs] es cualquier cosa que no implique una firma formal de un juez o un procedimiento judicial”, dijo Donahue. «Esto puede incluir control de datos, como una congelación de cuenta o una solicitud de conservación».
En un ejemplo hipotético, un estafador utiliza una cuenta de correo electrónico gubernamental pirateada para pedirle a un proveedor de servicios que bloquee una cuenta bancaria o criptográfica específica que supuestamente está sujeta a una orden de embargo o participó en un delito sancionado por el gobierno a escala global. acto terrorista. Financiación o explotación de niños.
Unos días o semanas después, el mismo imitador regresa con una solicitud para confiscar los fondos de la cuenta o desviarlos a una billetera de custodia supuestamente controlada por investigadores del gobierno.
«En términos generales de ataques de ingeniería social, cuanto más relación tengas con alguien, más confiarán en ti», dijo Donahue. “Si les envías una orden de congelamiento, es una forma de generar confianza, porque [the first time] No piden información. Simplemente dicen: «Oye, ¿puedes hacerme un favor?» » Y eso hace que el [recipient] sentirse valorado. »
Haciéndose eco de la advertencia del FBI, Donahue dijo que demasiados departamentos de policía en los Estados Unidos y otros países tienen una mala higiene de las cuentas y a menudo no implementan precauciones básicas de seguridad de datos, como exigir autenticación multifactor resistente al phishing.
¿Cómo suelen obtener acceso los ciberdelincuentes a las cuentas de correo electrónico de la policía y el gobierno? Donahue dijo que todavía se trata principalmente de phishing por correo electrónico y credenciales robadas por infecciones de malware oportunistas y vendidas en la web oscura. Pero por muy grave que sea la situación a nivel internacional, dijo, muchas entidades encargadas de hacer cumplir la ley en Estados Unidos todavía tienen mucho trabajo por hacer para mejorar la seguridad de las cuentas.
«Desafortunadamente, muchas de ellas son campañas de phishing o malware», dijo Donahue. “Muchas agencias de aplicación de la ley a nivel mundial no imponen una higiene estricta en materia de ciberseguridad, pero incluso los correos electrónicos del gobierno de EE. UU. están siendo pirateados. Durante los últimos nueve meses, me comuniqué con CISA (la Agencia de Seguridad de Infraestructura y Ciberseguridad) más de una docena de veces sobre direcciones de correo electrónico .gov comprometidas que CISA no tenía conocimiento.
