Hoy en día podemos manejar la tecnología como auténticos especialistas sin necesidad de serlo. Porque existen muchas herramientas y plataformas que nos hacen muy sencillo eso que, en realidad, es complicado. Pues resulta que los ciberdelincuentes también tienen un poco de ayuda y, por eso, queremos que conozcas Lucid.
Esta plataforma está detrás de las estafas de phishing más sofisticadas que hemos visto en los últimos meses. Conocerla te ayudará a protegerte frente a los ataques maliciosos que quieren hacerse con tus datos y tu dinero.
¿Qué es Lucid?
¿Has lanzado alguna vez una campaña de email marketing? Lo que se suele hacer en estos casos es utilizar plataformas que ofrecen herramientas para diseñar los correos y enviarlos de forma masiva a la base de datos, siempre de forma totalmente legal.
Lucid es algo similar, pero en una versión diseñada para ciberdelincuentes. Es una plataforma PhaaS (Phishing-As-A-Service) a través de la que los hackers venden o alquilan herramientas y servicios completos de phishing a otros delincuentes que no tienen conocimientos avanzados como para hacer esto por sí mismos.
Es algo así como un «kit listo para usar» de la ciberdelincuencia que facilita el lanzamiento de campañas de phishing de forma masiva incluso por parte de quienes no son «profesionales» de este tipo de crímenes.
Dentro de estos servicios lo que se encuentra es:
- Una infraestructura ya preparada para poder hacer phishing: sitios falsos, servidores, dominios, etc.
- Interfaces fáciles de usar para crear la «campaña».
- Plantillas de páginas falsas de bancos, redes sociales y similares.
- Herramientas de automatización para, entre otras cosas, enviar emails o SMS de forma masiva y recolectar credenciales.
- Soporte técnico y actualizaciones para dar un mejor servicio.
Su funcionamiento no es muy diferente al de cualquier otro servicio o plataforma legal como WordPress, ya que funciona mediante un servicio de suscripción.
El cliente decide qué plan quiere y, en base a lo que necesita para engañar a las víctimas, contrata un plan u otro.
Lucid es muy efectiva porque utiliza diferentes técnicas para evitar su detección:
- Usa dominios registrados por períodos cortos de tiempo, lo que dificulta el bloqueo por parte de las autoridades.
- Los enlaces de phishing suelen redirigir a páginas con HTTPS, generando una falsa sensación de seguridad.
- Algunas campañas están restringidas a víctimas de ubicaciones específicas, lo que dificulta los análisis externos.
¿Para qué se utiliza Lucid?
El servicio «todo en uno» de Lucid permite a los cibercriminales menos expertos en tecnología operar a gran escala de manera muy sencilla. Porque tienen a su disposición todo lo que pueden necesitar para lanzar una campaña de phishing.
Lo único que tienen que hacer es registrarse, pagar, seleccionar una plantilla y configurar los detalles de su estafa. Una vez que el engaño está configurado, la plataforma envía de forma masiva correos electrónicos o SMS para difundir enlaces maliciosos.
Este tipo de mensajes suelen ser muy similares. Se hace pasar la comunicación como si fuera de un banco, de Hacienda, de una red social u otra entidad que genere confianza en la víctima. Se le informa de que hay un problema con su cuenta, una devolución pendiente o una oferta exclusiva y que tiene que hacer clic en el link para acceder. Una vez que la víctima cae en el fraude, desde el link es redirigida a una página falsa a través de la que el delincuente va a obtener sus credenciales del banco, de redes sociales, etc.
Las estafas a través de Lucid tienen bastante éxito, porque ni iOS ni Android pueden escanear de forma automática los enlaces que hay en los SMS, lo que deja a los usuarios bastante expuestos.
En la mayoría de los casos, basta con que la notificación tenga la apariencia nativa de los navegadores móviles y que el mensaje genere cierta sensación de urgencia para inducir a la víctima a error y obtener sus datos.
Hasta el momento se han identificado campañas lanzadas a través de Lucid que imitan a empresas como Netflix, Amazon o PayPal.
Las plataformas PhaaS suponen un alto riesgo
La existencia de plataformas como Lucid, disponibles a través de la dark web, incrementan el peligro que supone para todos nosotros el vivir rodeados de dispositivos conectados a internet.
Porque rebaja de forma notable la barrera de entrada a la ciberdelincuencia, puesto que no es necesario tener conocimientos tecnológicos para lanzar estafas. Además, este tipo de plataformas ofrecen kits bien diseñados y en actualización constante con los que se pueden poner en marcha campañas masivas y dirigidas.
Por otro lado, para las autoridades resulta muy complicado identificar quién está detrás del ataque phishing, puesto que el usuario del servicio PhaaS no es el que lo ha programado.
¿Cómo nos podemos proteger de los ataques de Lucid?
Como dicen los expertos en ciberseguridad: la mejor prevención es una buena educación de los usuarios.
Debemos tener claro que ningún servicio o empresa legítima nos va a pedir nuestras credenciales o datos bancarios a través de un SMS o un correo electrónico. En caso de que lleguemos a caer en la trampa o sospechemos haberlo hecho, lo mejor es cambiar las contraseñas inmediatamente y contactar con el servicio afectado.
Una medida de protección bastante efectiva es instalar soluciones antiphishing en el teléfono móvil, puesto que ayudan a identificar enlaces maliciosos.
Tampoco está de más activar la autenticación en dos factores (2FA) en aquellos servicios y plataformas que lo permiten (que ya son casi todos).
Por su parte, las autoridades y las empresas de ciberseguridad ya están tomando medidas para acabar con plataformas como Lucid. Sin embargo, la naturaleza descentralizada de los PhaaS dificulta su erradicación.
Lucid es la puerta de acceso al phishing a personas sin conocimientos tecnológicos específicos, por lo que ahora debemos estar más atentos que nunca, puesto que el riesgo al que estamos expuestos es mayor. Si has recibido un mensaje sospechoso, no lo abras, e informa de ello a las autoridades para que estas puedan hacer su trabajo. La colaboración de los usuarios es clave en la lucha contra el cibercrimen.