Posted in Pentest on October 1st, 2008 by m313
El Pump & dump no es una nueva técnica de estafa. Es una versión refinada del spam que consiste en que el calado de una información falsa proporcione beneficios a quién la difunde o sabe aprovecharse de ella. Un ejemplo básico serían los correos de spam que circulan con las leyendas urbanas sobre la CocaCola (no he dicho que los difunda la competencia).
Recientemente he vuelto a tener noticias de esta modalidad de estafa debido a un par de noticias publicadas en el blog de s21sec y en Eweek.
Apliquemos una idea un poco más maliciosa y refinada y pensemos en un medio de comunicación. Muchos de los actos de inversores están basados en las noticias que los medios proporcionan. Las noticias publicadas por los medios conocidos o de prestigio tienen un gran efecto en la red. Tras una noticia publicada son cientos las páginas y pequeños medios que copian estas noticias y las reescriben en sus respectivos medios.
La idea maliciosa viene a continuación: imaginemos que un fallo de seguridad permite que sean publicadas noticias arbitrarias. Rápidamente estas noticias tendrán su calado en multitud de medios y permitiran al atacante beneficiarse, por ejemplo mediante la compra de acciones.
Como veremos en el documento que realizé hace algún tiempo no es necesario un enrevesado fallo de seguridad en los medios, simplemente son necesarios un Cross Site Scripting (XSS) y un poco de ingeniería social para su difusión.
El documento que escribí detalla ejemplos concretos de dos fallos de seguridad que descubrí que permitían hacer esto, en medios de comunicación de sector de TI (Eweek y Network World). Si estáis interesados podéis descargarlos:
Documento en castellano
Documento en inglés
Las vulnerabilidades detectadas fueron notificadas y resueltas antes de la publicación del documento.