Uno podría pensar que después de tantos años de luchar contra el correo spam, el llamado fraude nigeriano, entre otras pestes de Internet, ya no podría causar daños. Dicho fraude consiste en ofrecer millones de dólares a un extraño a través del correo electrónico, argumentando para ello una historia terrible en donde hay muchísimo dinero en un banco y en donde se requiere un extraño para poder hacerse del mismo. La cuestión es que quien cae en el llamado también fraude 419, se le piden 1000 dólares para hacer los trámites y poder mandar esos millones. Suena a un negocio fenomenal: millones a cambio de mil dolaritos, pensará el avaricioso que ya perdió su capacidad de razonamiento y es entonces cuando el fraude se consuma.
Aparentemente los defraudadores nigerianos están aún haciendo mucho dinero con este esquema clásico. Ahora además, han refinado sus técnicas y expandido sus objetivos. El jueves pasado la firma de seguridad Crowdstrike publicó detalles de estas cofradías nigerianas, las cuales están involucradas en varias actividades criminales y en donde el famoso fraude lo han convertido en una de sus mejores herramientas para hacer dinero. Por ejemplo, el grupo Black Axe, se ha hecho maestro en fraudes en donde las historias parecen creíbles. “Estos grupos parecen más a las mafias del pasado”, dice Adam Meyers, vicepresidente de Crowdstrike, quien agrega: “una vez que ya se está dentro de la organización entonces se le asigna un nuevo nombre al miembro. Los miembros tienen su propia música e incluso su propio idioma y en las redes sociales se pavonean de sus actividades. La idea es ¿por qué invertir miles de dólares para crear malware cuando se puede simplemente convencer a la gente de que haga algo estúpido?
A estos defraudadores nigerianos se les denomina “los chicos de Yahoo” porque muchos de ellos atacan los servicios de Yahoo. En la canción “Yahooze”, la cual tiene más de 3 millones de vistas en YouTube, el cantante nigeriano Olu Montain muestra el glamour del estilo de vida de los defraudadores por correo electrónico.
Los grupos de defraudadores nigerianos hoy han incrementado sus ataques no solamente contra individuos, sino pequeños negocios. El FBI estima que entre octubre del 2013 hasta diciembre del 2016, más de 40 mil correos de negocios fueron comprometidos en incidentes alrededor del mundo, resultando en pérdidas por unos 5.3 mil millones de dólares. con tantos idiomas, zonas de tiempo, clientes, empresas, etcétera, es difícil para una compañía con recursos limitados entender si están siendo atacados.
Los nigerianos por ejemplo, ahora manda phishing a compañías para que después de un solo click, se infecten sus máquinas con malware. A partir de esto, el atacante no tiene prisa. Empieza a usar esquemas como keyloggers (que registran la actividad del teclado de la víctima), para ver qué escribe, qué correos manda, qué contraseñas usa, etcétera. Así el defraudador empieza a entender cómo la compañía víctima hace transacciones, hace compras, cómo gasta el dinero, etcétera.
Eventualmente el defraudador actuará intentando hacerse pasar por una persona de la empresa a la que está atacando, con la intención de iniciar un pago. En la medida de los datos que disponga, puede ser más peligroso pues puede ordenar pagos ficticios o bien cambiar incluso la información bancaria de la empresa si eso le beneficia. La maldad humana no tiene límites. Es interesante saber que cuando una estrategia de los defraudadores no funciona, la eliminan y buscan algo más redituable. son bandas muy eficientes en este sentido.
Posiblemente la mayoría de los defraudadores nigerianos no sean muy hábiles técnicamente, pero son estupendos en la ingeniería social para así crear fraudes rápidos. En muchos sentidos son metódicos y silenciosos, indica Crowdstrike. Además, su ingeniería social, en donde los defraudadores usan apodos, son una cofradía o hermandad, hace que no sea fácil trazar sus pasos. Sin embargo, debido a su falta de conocimiento técnico, es en principio poderlos seguir a través de sus direcciones IP, pues no saben de protecciones dentro de la red.
La solución a este problema es complejo. Cuando una empresa pierde 200 mil dólares por un fraude de esta naturaleza ya hay poco que hacer, porque probablemente a compañía tendrá que cerrar sus puertas. Hay mecanismos de la autoridad para intentar recuperar el dinero, pero eso en general no parece funcionar. Aquí quizás la mejor recomendación es estar muy atento de los correos que llegan, llevar una administración en términos de seguridad para que así se pueda estar al menos más protegido, lo que equivale a que más de una persona tenga que autorizar un pago, así, cuando hay más de uno, las probabilidades de caer en el fraude podrían minimizarse.