Foto de Blai Peidro
Hola

Soy Blai Peidro

Senior Infrastructure Engineer

  • Stack Linux · Bash · Python · Ansible
  • Intereses Automatización · IA · Network
  • Idiomas Español · Català · English
  • Ubicación Barcelona, España
  • Web https://www.blai.blog

Análisis de una campaña de phishing de PayPal

Análisis de una campaña de phishing orientada al robo de credenciales de usuario de la plataforma de pagos electrónicos PayPal.



El phishing es un tipo de ataque informático orientado al robo de credenciales de acceso a sitios sensibles como pueden ser cuentas bancarias, cuentas de PayPal, redes sociales, paneles de administración de páginas web...

A diferencia de otros tipos de ataque, el phishing no se aprovecha de errores de código o configuración, sino del factor humano. La confianza, la urgencia o el miedo son herramientas igual de efectivas que cualquier exploit. Y mucho más difíciles de parchear que los errores de código.

Los pasos de una campaña de phishing


Las campañas de phishing se pueden dividir en tres pasos:

  1. Los criminales realizan un envío masivo de mails hacia potenciales víctimas.
  2. El mail urge a la víctima a clicar un enlace e iniciar sesión en un servicio.
  3. La víctima clica el enlace, introduce sus credenciales y... queda comprometida.


Para intentar engañar a sus víctimas, los delincuentes suelen clonar el diseño de la web de la empresa legítima para tratar de dar veracidad a lo que cuentan y suelen utilizar dominios similares a los de la empresa legítima.

En estas webs falsas, siempre hay un formulario de login que guarda las credenciales introducidas en una base de datos controlada por el atacante y luego redirecciona la petición a la página real, para que la víctima no sospeche.

Caso real


Hace unos días, pude analizar de primera mano uno de estos mails de phishing. Mi novia recibió un e-mail firmado por PayPal que anunciaba que la dirección hac.ker2018@gmail.com había sido añadida a su cuenta y que si no había sido ella quien la había añadido, iniciara sesión enseguida en PayPal y la eliminase:


Para quien se lo esté preguntando: el botón de Hotmail está en holandés.

Para empezar, que el remitente fuera service07@raquelalves.com en lugar de una dirección @paypal.com ya les desmontaba toda credibilidad. Por suerte, algunos criminales aún no conocen el mail spoofing.
Mail spoofing Técnica que consiste en falsificar el campo "From:" de un correo electrónico para que parezca enviado por una persona o empresa de confianza. De esta forma, se busca que el destinatario vea un remitente legítimo - como paypal@paypal.com - cuando en realidad el mensaje proviene de una dirección diferente controlada por el atacante.

Por otro lado, al pasar el ratón por encima del enlace del correo, el destino del enlace no era paypal.com, así que decidí copiar el enlace al que se dirigía la palabra "log in" y abrirlo desde una máquina virtual para ver a dónde iba.
Importante En caso de querer investigar una campaña de phishing de este tipo, recomiendo abrir el enlace desde una máquina virtual o un entorno aislado para minimizar riesgos, como posibles redirecciones maliciosas, descargas no deseadas, ataques XSS u otros intentos de explotación del navegador.


Siguiendo el rastro


El enlace del correo llevaba a una web intermedia:

http://hethongmay.com/red.html

En este red.html encontré el siguiente código: 

<html>
<head>
<title></title>
</head>
<body>
<meta http-equiv="refresh" content="0; url=https://nysa.net/service.inc/" />
<h2 style="text-align: center;">
<img src="https://www.bladen.co.nz/brand/processing-6.gif" />
</h2>
</body>
</html>

En este código fuente vemos dos cosas:

  • https://www.bladen.co.nz: host usado para alojar imágenes.
  • https://nysa.net: dirección final que imita el login de PayPal.


Lo que me ha sorprendido de https://nysa.net/service.inc/, la página que muestra un formulario de login de PayPal, es que el dominio usado tiene un certificado SSL que el navegador marca como válido:



Es posible que los atacantes comprometieran una web legítima con un certificado SSL activo para que las víctimas vieran "Secure" en la barra de direcciones del navegador y confiasen plenamente en la web.

Si analizamos el certificado, vemos que está expedido por Let's Encrypt Authority y que es plenamente válido en el momento de escribir este artículo:



Hasta este punto, estaba realizando la investigación con Chrome desde un Mac. ¿Qué ocurre si intento acceder a la URL final desde Windows usando Firefox?



Firefox bloquea la URL final, que ya está incluida en una blacklist de webs maliciosas. Resulta curioso que Firefox bloquee la URL antes que Chrome.
Nota Al momento de escribir este artículo, Chrome para Mac no bloqueaba la URL. Unas horas más tarde, al volver a probar, ya la bloqueaba.


Reporte


Llegados a este punto sólo me quedaba reportar los distintos dominios usados en este ataque a las compañías registradoras de los dominios y a los hostings.

Un WHOIS al primer dominio (raquelalves.com) me devolvió:



Un mail al registrador del dominio y otro al hospedador de la web explicándoles la situación y en pocas horas las webs dejaron de estar operativas.

Conclusión


Aunque el ataque presentaba cierto grado de sofisticación - uso de un servidor intermedio que permitía al atacante cambiar la dirección hacia donde redirigía el correo por si la página final era eliminada y uso de HTTPS con certificado SSL - otros elementos, como la dirección del remitente del correo electrónico, no dejaban lugar a dudas de que estábamos ante una campaña de phishing.
Fecha:
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)