Activistas venezolanos son atacados con phishing y manipulación de DNS

La semana pasada, investigadores y activistas expusieron un intento descarado de robar las credenciales de acceso de populares correos y redes sociales en internet mediante intentos de phishing de activistas en Venezuela. Los piratas informáticos, que supuestamente trabajaban para el asediado gobierno venezolano, intentaron engañar a los activistas para que entreguen sus contraseñas a servicios […]

La semana pasada, investigadores y activistas expusieron un intento descarado de robar las credenciales de acceso de populares correos y redes sociales en internet mediante intentos de phishing de activistas en Venezuela.

Los piratas informáticos, que supuestamente trabajaban para el asediado gobierno venezolano, intentaron engañar a los activistas para que entreguen sus contraseñas a servicios populares como Gmail, Facebook, Twitter y otros, según investigadores de seguridad.

La semana pasada, el líder de la oposición venezolana, Juan Guaidó, llamó a los ciudadanos a ser voluntarios con el objetivo de ayudar a las organizaciones humanitarias internacionales a entregar ayuda al país. Nicolás Maduro se ha negado a aceptar ayuda y ha levantado bloques a través de un puente fronterizo con Colombia con la ayuda del ejército.

Los esfuerzos voluntarios se organizaron en torno al sitio web voluntariosxvenezuela.com. Los voluntarios se registran y luego reciben instrucciones sobre cómo ayudar. El sitio web original le pide a los voluntarios que proporcionen su nombre completo, identificación personal, número de teléfono celular y si tienen un título médico, un automóvil o un teléfono inteligente, y también la ubicación del lugar donde viven:

VoluntariosXVenezuela se creó el 6 de febrero. Una semana después, el 11 de febrero,  alguien registró un dominio casi idéntico, voluntariosvenezuela[.]com, con un sitio web que es un mirror del original. Y el miércoles 13 de febrero, los usuarios de Venezuela que intentaban visitar el sitio web oficial y original de VoluntariosxVenezuela fueron redirigidos al sitio más nuevo.

Lo que llama la atención es que los dos dominios se resuelven, en Venezuela, con la misma dirección IP, pero fuera de la nación, con IPs diferentes. Esto hace que quienes ingresen sus datos al sitio desde Venezuela, le entreguen sus datos al impostor.

IP de Voluntarios por Venezuela y el sitio falso desde Venezuela

IP de Voluntarios por Venezuela y el sitio falso desde fuera de Venezuela

Al estudiar el sitio web falso, los investigadores encontraron sitios de phishing alojados en la misma dirección IP. Y hay evidencia de que las personas detrás del segundo sitio web, aparentemente falso y malicioso, trabajaban para el gobierno de Maduro, según la firma de seguridad CrowdStrike e investigadores independientes.

La dirección IP del sitio falso albergaba varios dominios diseñados para falsificar nombres de usuario y contraseñas de Gmail, Facebook, Instagram, Microsoft Live, Linkedin y iCloud de Apple, entre otros sitios, según datos públicos recopilados por PassiveTotal y otros servicios de monitoreo de Internet.

Los sitios de phishing están todos registrados en el dominio .ve, el dominio de nivel superior del código de país de Venezuela, que está controlado por CONATEL, la autoridad gubernamental de telecomunicaciones de Venezuela, según los registros de WHOIS.

Jose-Luis Rivas, un hacktivista local que ha rastreado los ataques, dijo que el sitio web falso tenía un formulario para registrar datos personales como nombre, correo electrónico, teléfono celular y ubicación.

“Eso es lo que están buscando. Identificando quién es la oposición y haciendo detenciones arbitrarias”

Por el momento, no se tienen los datos suficientes para saber qué tan efectiva fue la campaña de phishing. Pero los atacantes podrían haber golpeado a cientos de personas, dado que Guaidó recientemente dijo que casi 100,000 personas se han inscrito para ayudar a traer ayuda.

José Luis Rivas, un hacktivista local, dijo que los visitantes venezolanos de VoluntariosxVenezuela fueron redirigidos al sitio falso por el ISP CANTV controlado por el estado, que estaba manipulando el Sistema de Nombres de Dominio o DNS. Otros usuarios de internet en Venezuela reportaron los mismos hallazgos.