Seguridad en línea: análisis de la anatomía de un correo electrónico de suplantación de identidad (phishing)


En el mundo actual, donde la información de todos está en línea, el phishing es uno de los ataques en línea más populares y devastadores, porque siempre se puede limpiar un virus, pero si le roban sus datos bancarios, tiene problemas. A continuación, se muestra un desglose de uno de esos ataques que recibimos.



No piense que son solo sus datos bancarios los que son importantes: después de todo, si alguien obtiene el control sobre el inicio de sesión de su cuenta, no solo conoce la información contenida en esa cuenta, sino que lo más probable es que la misma información de inicio de sesión se pueda usar en varios otros cuentas. Y si ponen en peligro su cuenta de correo electrónico, pueden restablecer todas sus otras contraseñas.

Entonces, además de mantener contraseñas fuertes y variables, debe estar siempre atento a los correos electrónicos falsos que se hacen pasar por reales. Mientras que la mayoría suplantación de identidad Los intentos son de aficionados, algunos son bastante convincentes, por lo que es importante comprender cómo reconocerlos a nivel de superficie y cómo funcionan bajo el capó.





RELACIONADO: ¿Por qué escriben phishing con 'ph'? Un homenaje improbable

Imagen de asirap



Examinar lo que está a la vista

Nuestro correo electrónico de ejemplo, como la mayoría de los intentos de phishing, le notifica de la actividad en su cuenta de PayPal que, en circunstancias normales, sería alarmante. Por lo tanto, la llamada a la acción es verificar / restaurar su cuenta enviando casi toda la información personal que pueda imaginar. Nuevamente, esto es bastante formulista.

Si bien ciertamente hay excepciones, casi todos los correos electrónicos de phishing y estafas se cargan con banderas rojas directamente en el mensaje. Incluso si el texto es convincente, generalmente puede encontrar muchos errores esparcidos por todo el cuerpo del mensaje que indican que el mensaje no es legítimo.

El cuerpo del mensaje



Anuncio publicitario

A primera vista, este es uno de los mejores correos electrónicos de phishing que he visto. No hay errores ortográficos o gramaticales y la verborrea se lee de acuerdo con lo que cabría esperar. Sin embargo, hay algunas señales de alerta que puede ver cuando examina el contenido un poco más de cerca.

  • Paypal: el caso correcto es PayPal (P mayúscula). Puede ver que ambas variaciones se utilizan en el mensaje. Las empresas son muy deliberadas con su marca, por lo que es dudoso que algo como esto pase el proceso de revisión.
  • permitir ActiveX - ¿Cuántas veces ha visto una empresa legítima basada en la web del tamaño de Paypal que usa un componente propietario que solo funciona en un solo navegador, especialmente cuando admite varios navegadores? Claro, en algún lugar lo hace alguna empresa, pero esto es una señal de alerta.
  • de forma segura. - Observe cómo esta palabra no se alinea en el margen con el resto del texto del párrafo. Incluso si estiro la ventana un poco más, no se envuelve o no se espacia correctamente.
  • Paypal! - El espacio antes del signo de exclamación parece extraño. Solo otra peculiaridad que estoy seguro de que no estaría en un correo electrónico legítimo.
  • PayPal- Formulario de actualización de cuenta.pdf.htm: ¿Por qué Paypal adjuntaría un PDF, especialmente cuando podrían simplemente vincularlo a una página de su sitio? Además, ¿por qué intentarían disfrazar un archivo HTML como PDF? Esta es la mayor bandera roja de todas.

El encabezado del mensaje

Cuando echas un vistazo al encabezado del mensaje, aparecen un par de banderas rojas más:

  • La dirección de remitente es test@test.com .
  • Falta la dirección a. No lo dejé en blanco, simplemente no forma parte del encabezado de mensaje estándar. Normalmente, una empresa que tiene su nombre le personalizará el correo electrónico.

El adjunto

Cuando abro el archivo adjunto, puede ver inmediatamente que el diseño no es correcto ya que falta información de estilo. Nuevamente, ¿por qué PayPal enviaría por correo electrónico un formulario HTML cuando simplemente podrían darle un enlace en su sitio?

Nota: Usamos el visor de archivos adjuntos HTML integrado de Gmail para esto, pero le recomendamos que NO ABRA los archivos adjuntos de los estafadores. Nunca. Alguna vez. Muy a menudo contienen exploits que instalarán troyanos en su PC para robar la información de su cuenta.

Desplazándose un poco más hacia abajo, puede ver que este formulario solicita no solo nuestra información de inicio de sesión de PayPal, sino también la información bancaria y de la tarjeta de crédito. Algunas de las imágenes están rotas.

Es obvio que este intento de phishing persigue todo de un solo golpe.

El desglose técnico

Si bien debería quedar bastante claro en función de lo que está a la vista de que se trata de un intento de phishing, ahora vamos a desglosar la composición técnica del correo electrónico y ver qué podemos encontrar.

Información del adjunto

Anuncio publicitario

Lo primero que hay que tener en cuenta es la fuente HTML del formulario adjunto, que es lo que envía los datos al sitio falso.

Al ver rápidamente la fuente, todos los enlaces parecen válidos, ya que apuntan a paypal.com o paypalobjects.com, que son ambos legítimos.

Ahora vamos a echar un vistazo a la información básica de la página que Firefox recopila en la página.

Como puede ver, algunos de los gráficos se extraen de los dominios blessedtobe.com, goodhealthpharmacy.com y pic-upload.de en lugar de los dominios legítimos de PayPal.

Información de los encabezados de correo electrónico

A continuación, veremos los encabezados de los mensajes de correo electrónico sin procesar. Gmail hace que esto esté disponible a través de la opción de menú Mostrar original en el mensaje.

Anuncio publicitario

Si observa la información del encabezado del mensaje original, puede ver que este mensaje se redactó con Outlook Express 6. Dudo que PayPal tenga a alguien en el personal que envíe cada uno de estos mensajes manualmente a través de un cliente de correo electrónico obsoleto.

Ahora, mirando la información de enrutamiento, podemos ver la dirección IP tanto del remitente como del servidor de correo de retransmisión.

La dirección IP del usuario es el remitente original. Al hacer una búsqueda rápida en la información de IP, podemos ver que la IP de envío está en Alemania.

Y cuando miramos la dirección IP del servidor de correo de retransmisión (mail.itak.at), podemos ver que se trata de un ISP con sede en Austria. Dudo que PayPal enrute sus correos electrónicos directamente a través de un ISP con sede en Austria cuando tienen una granja de servidores masiva que podría manejar fácilmente esta tarea.

¿A dónde van los datos?

Por lo tanto, hemos determinado claramente que se trata de un correo electrónico de phishing y recopilamos información sobre el origen del mensaje, pero ¿qué pasa con el lugar al que se envían sus datos?

Para ver esto, primero tenemos que guardar el archivo adjunto HTM en nuestro escritorio y abrirlo en un editor de texto. Al desplazarse por él, todo parece estar en orden, excepto cuando llegamos a un bloque de Javascript de aspecto sospechoso.

Anuncio publicitario

Desglosando la fuente completa del último bloque de Javascript, vemos:


// Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
var i, y, x = 3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772fe6657322;

Cada vez que ve una cadena grande y desordenada de letras y números aparentemente aleatorios incrustados en un bloque de Javascript, generalmente es algo sospechoso. Mirando el código, la variable x se establece en esta cadena grande y luego se decodifica en la variable y. El resultado final de la variable y se escribe en el documento como HTML.

Dado que la cadena grande está formada por números del 0 al 9 y las letras a-f, lo más probable es que esté codificada mediante una conversión simple de ASCII a hexadecimal:

3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f7777772e646578706f670732702

Se traduce a:

No es una coincidencia que esto se decodifique en una etiqueta de formulario HTML válida que envíe los resultados no a PayPal, sino a un sitio fraudulento.

Además, cuando vea la fuente HTML del formulario, verá que esta etiqueta del formulario no es visible porque se genera dinámicamente a través de Javascript. Esta es una forma inteligente de ocultar lo que realmente está haciendo el HTML si alguien simplemente viera la fuente generada del archivo adjunto (como hicimos anteriormente) en lugar de abrir el archivo adjunto directamente en un editor de texto.

Al ejecutar un whois rápido en el sitio infractor, podemos ver que este es un dominio alojado en un servidor web popular, 1and1.

Anuncio publicitario

Lo que se destaca es que el dominio usa un nombre legible (a diferencia de algo como dfh3sjhskjhw.net) y el dominio ha sido registrado durante 4 años. Debido a esto, creo que este dominio fue secuestrado y utilizado como peón en este intento de phishing.

El cinismo es una buena defensa

Cuando se trata de mantenerse seguro en línea, nunca está de más tener un poco de cinismo.

Si bien estoy seguro de que hay más señales de alerta en el correo electrónico de ejemplo, lo que hemos señalado anteriormente son indicadores que vimos después de unos minutos de examen. Hipotéticamente, si el nivel de superficie del correo electrónico imitara al 100% su contraparte legítima, el análisis técnico aún revelaría su verdadera naturaleza. Por eso es importante poder examinar tanto lo que puede ver como lo que no puede ver.

LEER SIGUIENTE

Artículos De Interés