jueves, 29 de marzo de 2018

Análisis de una campaña de phishing



Los campañas de phishing vía correo electrónico siguen siendo la opción más usada por los criminales a la hora de robar credenciales de acceso a cuentas bancarias, PayPal y similares.



El phishing es un tipo de ataque informático dedicado a robar credenciales de acceso a sitios sensibles como pueden ser cuentas bancarias, cuentas de PayPal, redes sociales, paneles de administración de páginas web... A diferencia de otros tipos de ataque, el phishing no se aprovecha de un error de código o de configuración sino que se aprovecha del factor humano.

El esquema de este tipo de ataques es siempre el mismo: los criminales realizan un envío masivo de mails hacia potenciales víctimas. Estos mails explican a la víctima que su cuenta ha sido hackeada o que debe verificar sus datos personales o similar e incluyen un enlace a la supuesta web del servicio/empresa. Usan los logotipos y tipo de redactado de la empresa legítima para dar veracidad a lo que cuentan. La página web a la que que apuntan tiene un diseño clonado de la web real, pero es una web falsa gestionada por el atacante. En estas webs falsas, siempre hay un formulario de login que al ser rellenado por la víctima, guarda las credenciales introducidas en una base de datos controlada por el atacante y luego redirecciona la petición a la página real, para que la víctima no sospeche nada.


Caso real



Ayer, pude analizar de primera mano uno de estos mails de phishing. Mi novia recibió un e-mail, aparentemente enviado por PayPal, que anunciaba que la dirección hac.ker2018@gmail.com había sido añadida a su cuenta de PayPal y que si no había sido ella quien la había añadido, se logeara en PayPal y la eliminase:


Para el que se lo esté preguntado... el botón de hotmail está en holandés.

Para empezar, que el mensaje provenga de service07@raquelalves.com en vez de una dirección @paypal.com ya les desmonta toda credibilidad. Hacer mail spoofing no es demasiado complicado, pero algunos criminales siguen yendo a por lo fácil, supongo.

Por otro lado, para quien no esté al tanto, si dejamos el ratón encima de un enlace de un correo electrónico podemos ver la dirección hacia donde lleva dicho enlace. Evidentemente, el destino del enlace no era paypal.com, así que decidí copiar el destino al que se dirigía la palabra "log in" y abrirlo en una nueva sesión, para ver qué pasaba. Es importante, en caso de querer investigar, el cerrar sesión del correo electrónico, o abrir el enlace desde una ventana de incógnito para así evitar el posible robo de sesiones de cuentas de correo mediante Cross Site Scripting.

Volviendo al enlace, este llevaba a una web proxy, probablemente un host hackeado:

http://hethongmay.com/red.html

En este red.html encontramos el siguiente código:

<html> <head> <title></title> </head> <body> <meta http-equiv="refresh" content="0; url=https://nysa.net/service.inc/" /> <h2 style="text-align: center;"><img src="https://www.bladen.co.nz/brand/processing-6.gif" /></h2> </body> </html>
En este código fuente vemos dos cosas:
  • https://www.bladen.co.nz: un tercer host usado por los atacantes para alojar imágenes.

  • https://nysa.net: la dirección final hacia donde se nos redirige, con un formulario de login que imita la web de PayPal, usado por los atacantes para robar credenciales de víctimas.

Como decía, el código anterior realiza una redirección a https://nysa.net/service.inc/, la cual imita la pantalla de login de PayPal. Lo que me ha sorprendido de esta página es que el dominio usado tenga un certificado SSL válido:



Supongo que los atacantes hackearon una página web con un certificado SSL activo para que las víctimas vieran "Secure" en la barra de direcciones del navegador y confiasen plenamente en la web.

Si analizamos el certificado, vemos que está expedido por "Let's Encrypt Authority X3" y que es plenamente válido en el momento de escribir este artículo:



Alguno se habrá dado cuenta de que las capturas de pantalla están tomadas desde un Mac usando Chrome. ¿Qué ocurre si intentamos acceder a la web final mediante Firefox desde Windows?



Firefox bloquea la URL final, que ya está incluida en una blacklist de webs maliciosas. Curioso que Firefox bloquee la URL antes que Chrome.

NOTA: al momento de escribir este artículo, Chrome para Mac no bloqueaba la URL. Unas horas más tarde, he vuelto a probar a acceder y ya la bloquea.

Llegados a este punto sólo me quedaba ser un buen samaritano y reportar los distintos dominios usados en este ataque a las compañías registradoras de los dominios.

Un WHOIS al primer dominio (raquelalves.com) me devuelve:



Un mail al registrador del dominio y otro al hospedador de la web explicándoles la situación y en pocas horas las webs dejarán de estar operativas.


Conclusión



Aunque el ataque gozaba de cierta sofisticación - uso de un servidor proxy intermedio que permite al atacante cambiar la dirección hacia donde redirige el mail por si la página final es eliminada y uso de HTTPS con certificado SSL - otros aspectos como la dirección remitente del correo o las direcciones URL no enmascaradas no dejaban lugar a dudas de que estábamos ante una campaña de phishing.
0

0 comentarios:

Publicar un comentario