sábado, 7 de marzo de 2015

Análisis de un Phishing

Esta noche he visto una conferencia de Chema acerca del correo electrónico, el spam, el phishing, etc. Nos comenta que las empresas que ofrecen servicios de correo electrónico, como por ejemplo GMAIL o HOTMAIL han implementado un filtro antispam que analiza los correos que nos llegan a nuestra dirección. Dicho filtro elimina las palabras ruido (artículos, preposiciones, ...) y analiza el resto del contenido del correo, el origen, el modo de escritura, las palabras usadas y un sinfín de parámetros (alrededor de 2000). Una vez hecho este estudio, se da una puntuación al correo para poder clasificarlo si es mayor de un valor concreto en la bandeja de entrada o en la bandeja de basura o spam si esa puntuación es menor.

El vídeo es muy interesante y lo podéis ver aquí:

Vídeo 1: Charla sobre seguridad en Hotmail impartida por Chema Alonso en la Gira Up To Secure 2011

Bien, pues ahora vamos a analizar mi propio buzón de correo de gmail y el contenido de la carpeta spam. Os pongo una captura de pantalla de la bandeja spam de mi correo de gmail:

Figura 1: mi bandeja de spam

Se pueden ver varios correos. Uno de ellos es de FNAC (marcado en rojo), por lo que seguramente será un correo fidedigno que me ha llegado al spam por que me habrán abrasado a correos y en algún momento lo marqué yo como spam. Lo interesante sería pues ir a mi cuenta de FNAC y calcelar la suscripción a sus listas de newletters. Si vemos el contenido se ve que el propio gmail nos da información de porque está ese mensaje ahí, y el propio correo de FNAC tiene la opción de acceder a las newsletters:

Figura 2: correo de FNAC en mi bandeja de spam

Ahora vamos analizar el contenido de uno de los otros correos marcados anteriormente en verde, de los que no conozco al remitente y el asunto está en ingles (muy turbio ya antes de empezar):

Figura 3: correo spam

Vemos que el remitente es desconocido para mi (Libby Guiliano <oueevebpo@tvkursk.ru>) y que viene desde una dirección de Rumanía. En el propio mensaje nos dice Libby Guiliano que ha visto nuestro perfil de facebook y que está con las hormonas un poquito revolucionadas. Se nos vende con una descripción explosiva de su cuerpo y nos da un link para ver más fotos picantes (sigue siendo muy turbio ....). Si copiamos el texto del mensaje y lo pegamos en un bloc de notas, vemos que es ilegible:

Figura 4: texto del correo

Al parecer, el contenido del correo es un texto ilegible, que el remitente ha dispuesto así para ver si podía saltarse los filtros de spam de gmail, y para que nosotros podamos leer lo que le interesa, ha puesto todo el texto de uncolor igual al color dell fondo, por lo que queda oculto y ha cambiado el color a otro distinto a las letras que quiere que leamos, estratégicamente colocadas. En el correo podía verse la palabara "hot photos" escondido entre el resto de caracteres:

Figura 5: texto escondido dentro del mensaje

Lo único que si que está claro es el link que nos manda a la supuesta dirección de sus fotos http://Libby1977.Clever...... tal y tal y tal. Pero si vemos la dirección real a la que vamos cuando hacemos click es esta otra http://libbygia.cleverdati....... tal y tal y tal. Otra vez cosas turbias. Si analizamos esta direcciones en la web http://www.virustotal.com nos dice que la web no es "mala". Puede que no esté troyanizada, pero de momento ya nos han lanzado a una web que no es de una persona directamente, sino de una empresa de contenidos sexuales:

Figura 6: análisis de la url en www.virustotal.com

Análisis final

Sería interesante "educar" nuestra bandeja de spam, diferenciando si los mails son realmente spam o si son mails que nos llegan de newsletters a los que estamos suscritos. Las recomendaciones serían:

  • cancelar nuestra suscripción de listas de correo que ya no deseemos
  • no marcar a lo salvaje los correos no deseados como spam, sino investigar de donde viene e intentar cancelar suscripciones
  • no abrir correos "sospechosos", con asunto en un idioma no común a nuestros hábitos, con remitentes desconocidos
  • si has abierto un correo y trae un enlace en su interior, ummm, no le des click por mucho que te prometan en el mensaje
  • mantén tu sistema actualizado, así como el antivirus y los programas de terceros

Saludos!

No hay comentarios:

Publicar un comentario

Puedes dejar tus comentarios, sugerencias y críticas, pero los mensajes PUBLICITARIOS, OFENSIVOS o DESTRUCTIVOS serán marcados como spam y eliminados.