Con la tontería de hacer servicios de todo lo que se nos ocurra, ha llegado un servicio que les encantará a los que quieran robar contraseñas a diestro y siniestro: dadle una calurosa bienvenida al Phishing as a Service.

Parece una broma más propia del día de los Inocentes, pero por desgracia se trata de una realidad muy patente. Ya os lo mostramos con el Ransomware que podíamos modificar a través de una página web para actuar como nosotros quisiéramos, lo único que teníamos que hacer es averiguar cómo colarlo en el ordenador de la víctima, y hoy os traemos otro desafortunado ejemplo de ello con el Phishing.

Así funciona el servicio de Phishing para robar contraseñas

phishing-servicio-4

Eso que tenéis arriba es la página de control de una web llamada “fake-game” que se vende como un ‘Phishing as a Service’: nos da todo lo que necesitamos para robar contraseñas a usuarios desprevenidos, así sin más. Solito es capaz de generar enlaces que simulan ser páginas de acceso de servicios conocidos como Google, Facebook o Instagram, e incluso comprueba que los datos aportados son correctos cuando la víctima los envía.

Una vez los ha recibido, la página mandará automáticamente a la página de autentificado de Google de verdad para evitar sospechas, aunque tendrá que volver a introducirlos (esta vez en la real). Mientras, la página falsa ha guardado toda la información enviada en plano para nosotros.

phishing-servicio-2

Lo único que tenemos que hacer nosotros es generar el enlace con las condiciones que queramos y averiguar cómo se lo podemos colar al usuario al que queramos robar la cuenta. Puede ser a través de un correo, a través de mensajes SMS o incluso con un código QR o NFC. Cuando el usuario pique, recibiremos los datos en nuestro panel de control, además de que pasarán a la base de datos del servicio para los ‘usuarios VIP’.

Sí, habéis leído bien, esta especie de servicio también tiene una suscripción VIP que nos permite, además de mantener nuestras cuentas robadas en secreto, ver cuales son los usuarios y contraseñas que otros usuarios sin suscripción han conseguido.

phishing-servicio-3

La estafa está tan bien montada que la página de control incluso tiene cosas más propias de una página de venta legal, como un chat de ayuda en línea, sistema de referidos, cupones de descuento o la posibilidad de revender cuentas VIP del servicio. Incluso han añadido un mensaje en el que anuncian que saben que los filtros de Google han detectado sus páginas falsas, y que piensan cambiar sus enlaces para evitarlo.

Ya no sólo genera dinero realizar ataques por nosotros mismos y vender la base de datos; ahora también puede generar dinero el proporcionar las herramientas para hacerlo, además de quedarnos con los datos que estos usuarios consiguen sacar. Lo único que necesitas es poner el servicio, tus “usuarios” te harán todo el trabajo sucio que supone colar el ataque a la víctima, y si encima te pagan por tener privilegios en el servicio, mejor que mejor.

phishing-servicio-1

En cualquier caso, este intento de estafa es sencillo de evitar siempre que no nos pille con la guardia baja: desconfía de cualquier enlace extraño que recibas por cualquier medio, asegúrate de que estableces una conexión HTTPS (el candado verde de la barra de direcciones) en sitios como Google o Facebook cuando te conectes a ellos y utiliza contraseñas seguras y diferentes entre servicios.