Después de que la agencia Qatar News indicara que había sufrido un ciberataque que dio origen a la difusión de las noticias que causaron la reciente crisis de Qatar, Panda desvela algunas de las claves del phishing que dan lugar a la suplantación de la identidad de periodistas.
El phishing es una técnica clásica de cibercrimen que se basa en mandar emails o whatsapps en los que se suplanta la identidad de una empresa de referencia. En ellos, se pide a la víctima que realice determinada acción como por ejemplo cambiar la contraseña de acceso a un determinado servico (como el acceso a su cuenta bancaria). Cuando la persona que recibe el mensaje pincha en el link, es redirigido a una web falsa creada por los criminales para obtener los datos de acceso a su cuenta bancaria, a sus redes sociales o a su correo electrónico.
Phishing para desinformar
Pero, la vuelta de tuerca que han dado los cibercriminales va más allá del robo económico o el chantaje: han usado el phishing para desinformar y crear falsos bulos. Periodistas, disidentes del Gobierno ruso, ex-altos cargos del Ejército de Estados Unidos y al menos un ex-primer ministro ruso, han sufrido un ataque global para robar sus contraseñas y generar falsas informaciones en Internet en su nombre.
Entre las víctimas de este ciberataque destaca David Satter, un periodista estadounidense que es crítico con el Gobierno ruso. Tras robarle sus datos de acceso a su cuenta de Gmail, los piratas informáticos filtraron en Internet muchos de los documentos que almacenaba en su correo electrónico. Pero al menos modificaron uno de ellos para hacer creer a la opinión pública que estaba pagando a otros periodistas rusos para que difundiesen noticias falsas sobre el Ejecutivo que preside Vladimir Putin.
La autoría del ciberataque, se le atribuye a un grupo de ciberterroristas llamado Fancy Bear, al que muchos relacionan directamente con el Ejecutivo de Rusia. Al igual que en el caso del periodista estadounidense, los cibercriminales enviaron emails suplantando la identidad de Google para pedir que las víctimas actualizasen su contraseña.
En concreto, los emails que enviaron los ciberterrorisas eran prácticamente iguales a los que Google envía para alertar ante un posible fallo de seguridad. Es más, “no solo el diseño del correo electrónico era una copia casi perfecta. A su vez, las URL de los enlaces a los que dirigían los mails para llevar a las víctimas a una página en la que debían escribir su contraseña eran tan parecidas a las que usa Google, que solo un experto se hubiera dado cuenta”, destaca Hervé Lambert, Global Consumer Operations Manager de Panda Security.