Hace un año, recibí un enlace de phishing. Lo analicé por curiosidad y, sin darme cuenta, terminé infiltrándome en varias organizaciones cibercriminales. Pasé por una breve etapa de "Batman", intentando salvar a las víctimas avisándoles de que sus credenciales habían sido robadas. Pronto me di cuenta de que eso no era efectivo ni sostenible y decidí investigar más a fondo. Os invito a un viaje por las entrañas del smishing en España, donde exploraré cómo, a partir del análisis de código y el reversing de aplicaciones, podemos descubrir quién está detrás de varios grupos criminales, ver en detalle cómo operan, cómo se organizan y cuáles son sus TTPs más comunes. En la charla, analizaré códigos fuente de varios kits de phishing para mostrar las técnicas de evasión que utilizan para evitar ser detectados (antibots). Además, explicaré en detalle el funcionamiento interno de Telegram y cómo podemos aprovechar sus vulnerabilidades para extraer el máximo de información a partir de un token. En algunos casos, me ha permitido acceder a información privilegiada de organizaciones como WeTrustPH, un actor ruso que ha robado cientos de miles de euros y cuyos datos recolectados están siendo utilizados en una investigación en curso de la policía. También hablaré sobre MRRobot, un actor especializado en Banking RATs. Como a través del reversing de uno de sus APKs, logré acceder a su servidor C2 y observar, en tiempo real, todo el proceso: desde el envío del SMS a la víctima hasta que el atacante obtiene el dinero. Esta sección incluirá una demo donde mostraré la perspectiva del atacante y las capacidades del malware. Por último, presentaré soluciones prácticas que estamos desarrollado, incluyendo un chatbot gratuito alimentado con datos de INCIBE y como intentamos colaborar con bancos y gobiernos para implementar estas soluciones y proteger a usuarios finales.
Speakers: