Foto de Blai Peidro
Hola

Soy Blai Peidro

Senior Infrastructure Engineer

  • Stack Linux · Bash · Python · Ansible
  • Intereses Automatización · IA · Network
  • Idiomas Español · Català · English
  • Ubicación Barcelona, España
  • Web https://www.blai.blog

Análisis de una campaña de phishing de PayPal

Análisis de una campaña de phishing orientada a robar credenciales de usuario de la plataforma de pagos electrónicos PayPal.



El phishing es un tipo de ataque informático dedicado a robar credenciales de acceso a sitios sensibles como pueden ser cuentas bancarias, cuentas de PayPal, redes sociales, paneles de administración de páginas web...

A diferencia de otros tipos de ataque, el phishing no se aprovecha de un error de código o de configuración sino que se aprovecha del factor humano. La confianza, la urgencia o el miedo son herramientas igual de efectivas que cualquier exploit. Y mucho más difíciles de parchear que los errores de código.

Los pasos de una campaña de phishing


Las campañas de phishing se pueden dividir en tres pasos:

  1. Los criminales realizan un envío masivo de mails hacia potenciales víctimas.
  2. El mail urge a la víctima a clicar un enlace e iniciar sesión en un servicio.
  3. La víctima clica el enlace, introduce sus credenciales y... queda comprometida.


Para intentar engañar a sus víctimas, los delincuentes suelen clonar el diseño de la web de la empresa legítima para tratar de dar veracidad a lo que cuentan y suelen usar un dominio parecido al de la web de la empresa a la que suplantan.

En estas webs falsas, siempre hay un formulario de login que guarda las credenciales introducidas en una base de datos controlada por el atacante y luego redirecciona la petición a la página real, para que la víctima no sospeche.

Caso real


Hace unos días, pude analizar de primera mano uno de estos mails de phishing. Mi novia recibió un e-mail firmado por PayPal que anunciaba que la dirección hac.ker2018@gmail.com había sido añadida a su cuenta y que si no había sido ella quien la había añadido, se logeara enseguida en PayPal y la eliminase:


Para el que se lo esté preguntando... el botón de hotmail está en holandés.

Para empezar, que el mensaje provenga de service07@raquelalves.com en lugar de una dirección @paypal.com ya les desmonta toda credibilidad. Por suerte, algunos criminales aún no conocen el mail spoofing.
Mail spoofing Técnica que consiste en falsificar el campo "De:" de un correo electrónico para que parezca enviado por una persona o empresa de confianza. El destinatario ve un remitente legítimo - como paypal@paypal.com - cuando en realidad el mensaje proviene de otra dirección totalmente distinta.

Por otro lado, al pasar el ratón por encima del enlace del correo, el destino del enlace no era paypal.com, así que decidí copiar el destino al que se dirigía la palabra "log in" y abrirlo en una máquina virtual, para ver qué pasaba.
Importante En caso de querer investigar una campaña de phishing de este tipo, recomiendo abrir el enlace desde una máquina virtual para así evitar el posible robo de sesiones de tus cuentas de correo mediante XSS.

Volviendo al enlace del correo, este llevaba a una web intermedia:

http://hethongmay.com/red.html

En este red.html encontramos el siguiente código: 

<html>
<head>
<title></title>
</head>
<body>
<meta http-equiv="refresh" content="0; url=https://nysa.net/service.inc/" />
<h2 style="text-align: center;">
<img src="https://www.bladen.co.nz/brand/processing-6.gif" />
</h2>
</body>
</html>

En este código fuente vemos dos cosas:

  • https://www.bladen.co.nz: host usado para alojar imágenes.
  • https://nysa.net: dirección final que imita el login de PayPal.


Lo que me ha sorprendido de https://nysa.net/service.inc/, la página que muestra un formulario de login de PayPal, es que el dominio usado tiene un certificado SSL que el navegador marca como válido:



Supongo que los atacantes hackearon una página web con un certificado SSL activo para que las víctimas vieran "Secure" en la barra de direcciones del navegador y confiasen plenamente en la web.

Si analizamos el certificado, vemos que está expedido por Let's Encrypt Authority y que es plenamente válido en el momento de escribir este artículo:



Hasta este punto, estaba realizando la investigación con Chrome desde un Mac. ¿Qué ocurre si intento acceder a la URL final desde Windows usando Firefox?



Firefox bloquea la URL final, que ya está incluida en una blacklist de webs maliciosas. Curioso que Firefox bloquee la URL antes que Chrome.
Nota Al momento de escribir este artículo, Chrome para Mac no bloqueaba la URL. Unas horas más tarde, al volver a probar, ya la bloqueaba.

Llegados a este punto sólo me quedaba reportar los distintos dominios usados en este ataque a las compañías registradoras de los dominios y a los hostings.

Un WHOIS al primer dominio (raquelalves.com) me devuelve:



Un mail al registrador del dominio y otro al hospedador de la web explicándoles la situación y en pocas horas las webs dejaron de estar operativas.

Conclusión


Aunque el ataque gozaba de cierta sofisticación - uso de un servidor intermedio que permitía al atacante cambiar la dirección hacia donde redirigía el mail por si la página final era eliminada y uso de HTTPS con certificado SSL - otros aspectos como la dirección remitente del correo o las direcciones URL no enmascaradas no dejaban lugar a dudas de que estábamos ante una campaña de phishing.
Fecha:
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)