Mostrando entradas con la etiqueta Phishing. Mostrar todas las entradas
Mostrando entradas con la etiqueta Phishing. Mostrar todas las entradas

miércoles, 30 de septiembre de 2015

Análisis de un Phishing (v.2)

Hace unos días recibí un correo electrónico que entró a la bandeja de entrada como uno más. El asunto resultaba sospechoso, ya que estaba en ingles y decía que había recibido un nuevo fax:

  • New 2 page(s) eFax from (334) 306-5677

Vamos a analizar un poco más su contenido:
Figura 1: Analizamos un ejemplo real de phising
Enumerando las cosas extrañas que vi:

  • El idioma es inglés
  • ¿Se supone que alguien quiere mandarme un fax? ¿aún queda de eso?
  • Tiene un fichero adjunto
  • No conozco al remitente
  • El teléfono de origen del fax no es español -> (334) 306-5677


Figura 2: captura de pantalla de mi bandeja de entrada
Me resultó extraño también que los filtros de gmail lo pasasen como bueno y no lo metiesen en la bandeja de SPAM, por lo que decidí dejarlo unos días más para ver como trata GMAIL el asunto.

Al cabo de unos días el mensaje fue movido a la carpeta de basura y varias alertas se podían ver al acceder al mail:
Figura 3: captura de pantalla de la carpeta de SPAM
El documento adjunto tenía extensión de WORD, pero pudiera ser un EXE camuflado o un WORD con macros, dos técnicas muy extendidas para difundir troyanos. Lo sorprendente es que toda la información de la empresa que al parecer tiene el fax que he de descargar y que ha hecho de intermediaria entre el usuario ficticio que quiere mandarme un fax y yo, es totalmente real, con datos reales de contacto, teléfono, mail, ... O sea, la empresa eFax es legítima y su identidad ha sido suplantada para hacer creer a quien recibe el mail que realmente hay un fax para él, es decir, un PHISING en toda regla. La calidad de la copia no es que sea buena, si no que es la misma que la de la empresa legítima: buena calidad en la imágenes, mismas imágenes corporativas que la empresa eFax, logos idénticos, no hay faltas de ortografía ni link a páginas extrañas. Simplemente un word adjunto con un troyano. ASOMBROSO !!!

Recomendaciones para evitar ser troyanizados en este caso: 
  • no abrir correos de desconocidos 
  • no abrir correos de idiomas de los que nos se esperan recibir mail
  • nunca abrir los adjuntos directamente en internet, siempre descargarlo, analizarlo con el antivirus y luego si está limpio, abrir
  • tener nuestro sistema actualizado
  • tener un buen programa antivirus


Para terminar, un par de vídeos con unas demos de Chema haciendo un phising en directo:


Vídeo 1: Entrevista de Pablo Motos a Chema Alonso en El Hormiguero. En la entrevista se hace una demo de phishing para robar cuentas de Apple iCloud
El contenido de la demo está ampliada en esta dirección:

Figura 4: web elladodelmal con entrada de información
Y otro vídeo con un breve resumen sobre phising:

Vídeo 2: el phising en 2 minutos


Saludos!

Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

jueves, 7 de mayo de 2015

Análisis de un Phishing II

Hoy he recibido un mail. El remitente era un cliente de mi empresa, pero el asunto estaba en inglés. Me ha parecido sospechoso que llegase a mi bandeja de entrada, y que normalmente lo hacen a la carpeta de SPAM. 

Figura 1: captura de pantalla de la bandeja de entrada
 Una vez que lo he abierto (solo por curiosear, ya que lo suyo habría sido eliminarlo sin abrirlo si quiera), este era el contenido del mensaje:
Figura 2: contenido del mensaje
Para un usuario normal, puede parecer que mi cliente me ha mandado un mensaje, que parece ser un vídeo de Whatsapp, que lo ha enviado en esa fecha y hora (hoy 7 de mayo de 2015 a la 1:11:53 de la mañana), y no se porque, pero me llega al correo, cuando Whatsapp no tiene mi correo. Que turbio!!!

Para el ojo inexperto podría parecer normal, pero sin entrar en tecnicismos podemos ver un comportamiento "raro". Si paso el ratón sobre el botón verde de "PLAY", veo que hace cosas distintas si estoy a la izquierda de la palabra "PLAY", sobre ella o a su derecha:
Figura 3: a la izquierda de "PLAY" sale la flechita típica del ratón
Figura 4: sobre la palabra "PLAY" sale la mano de acceso a un enlace
Figura 5: a la derecha de la palabra "PLAY" también sale la mano indicando que es un enlace
Si fuese algo legítimo (o un poquitín mejor hecho), el comportamiento sería el mismo en las 3 posiciones o solo saldría la mano sobre el "PLAY". Además de que está escrito en inglés, que Whatsapp no manda correos, que el asunto es "Body, meet food coma", ... y revisando la información del enlace que aparece en la parte inferior de la pantalla cuando el cursor es una manita, vemos que el enlace es a un dominio llamado http://aidanharticons.com/.....
Figura 6: dirección del enlace fraudulento
Y la parte técnica: si en GMAIL abrimos la opción de "Mostrar original", podemos ver el contenido del mismo, un código HTML con dos enlaces a este mismo dominio:
Figura 7: código fuente del contenido del mail
Para terminar, un par de vídeos que ya os he recomendado en otras ocasiones del gran Chema sobre seguridad en los correos electrónicos:
Vídeo 1: Hotmail y la seguridad en el correo electrónico
Vídeo 2: Chema Alonso en X Fórum AUSAPE: Decálogo de Seguridad Maligno
Saludos!
Publicado por en No hay comentarios:
Etiquetas: , , , ,

sábado, 28 de marzo de 2015

Como actuar ante un delito informático

En estradas anteriores hemos estado hablando de los posibles ataques que podemos sufrir por amenazas externas a nuestro equipo, hacking, gromming, phishing, bullying, etc. y las formas de defendernos. Pero hay ciertos ataques que no deben quedarse en una simple defensa, ya que pueden ser el primer paso de un acoso físico. Ayer Chema publicaba en su blog una entrada sobre el Cyberbullying que podéis leer aquí:

Figura 1: publicación en www.elladodelmal.com de 27 de marzo de 2015

Pero ¿como actuar en España frente a este tipo de acoso?. El primer paso sería ir a la Guardia Civil y exponer el caso. En la web del Cuerpo de Delitos Telemáticos de la Guardia Civil, puede encontrarse información sobre el proceso a seguir. Lo importante es denunciar tanto si se ha sido testigo como víctima:
Figura 2: fragmento de la web de la Guardia Civil
Desde esta web se puede informar y denunciar un delito. La opción de denunciar, nos permite generar un fichero PDF que deberemos imprimir y llevar personalmente a un centro policial o judicial, tal y como se nos informa:
Figura 3: mensaje informativo en el acceso a la opción denunciar
Figura 4: formulario para generar la denuncia que deberemos imprimir
La otra opción es la de informar de un delito. Pero ¿qué delito podemos nosotros estar viendo para sentirnos en la necesidad de informar? Os pongo unos casos:
  • ejemplo 1: la persona que está sufriendo el acoso puede estar en un estado emocional que no la deja "ver lo que realmente esta pasando". 
  • ejemplo 2:  la persona que está sufriendo el acoso puede estar coaccionada y por eso no da el paso
  • ejemplo 3: estamos usando algún programa P2P para descarga de contenido o alguna página de películas y nos descargamos un material que comprobamos no es lo que se ofrecía y contiene imágenes o vídeos que son ilegales (por ejemplo descargar una película y comprobamos que tiene escenas de pederastia)
  • ejemplo 4: sospechamos que nuestros datos o identidad digital han sido robados o están siendo usados sin nuestro consentimiento
  • ejemplo 5: un caso de cyberbulling que no sea directo, si no que alguien inunde facebook, twitter, foros, con información falsa ofensiva, desprestigiando solo por hacer el daño
  • ejemplo 6: cualquier duda que tengamos de si algo es o no ilegal
La información solicitada para la tramitación de la denuncia es un poco técnica y ha de estar documentada, por lo que sería bueno solicitar información primero, recabar datos después y finalmente realizar la denuncia.

También en esta web tenemos varios apartados muy interesantes:
Se hace hincapié en que no pasa nada por informarnos. Que un robo sea físico o digital, sigue siendo un robo. Que un acosador que te sigue por la calle y un acosador en facebook, son lo mismo: acosadores. Tal vez no estemos aún concienciados de ello, por lo que no se denuncian este tipo de cosas. Existe la campaña YO DENUNCIO, promovida por el Grupo de delitos telemáticos:

La campaña YO DENUNCIO bajo el lema "entre todos haremos una red mas segura" invita a cualquier usuario a poner de manifiesto las irregularidades que haya presenciado en la Red. Para ello solicitamos tu ayuda. Si lo deseas, copia el código HTML y colócalo en tu web. De esta manera, los usuarios podrán denunciar contenidos ilícitos y fraudes de una manera rápida y sencilla

Figura 5: enlace a la web de delitos telemáticos en la campaña YO DENUNCIO
!Descárgate el libro X1Red+Segura Informando y Educando V1.0!
El libro pretende concienciar a todos los usuarios de Internet, especialmente a los que no disponen de conocimientos técnicos, de los riesgos y amenazas que en la Red nos acechan.
Conocer los peligros, y saber que sus consecuencias atraviesan los monitores y pantallas de nuestros dispositivos, permitirán que todos disfrutemos de Internet de forma mucho más segura, aprovechando la infinitas bondades que las nuevas tecnologías nos aportan.
En este libro el lector descubrirá los orígenes de Internet y los servicios que nos ofrece, así como los principales riesgos a los que todo internauta se enfrenta, desde los engaños más burdos a las técnicas más depuradas de Ingeniería Social utilizadas por los ciberdelincuentes. En el mismo se hace especial hincapié en los riesgos sufridos por los menores en la Red.
En definitiva, la lectura de "X1Red+Segura Informando y Educando V1.0", ayudará a la ruptura de las denominadas brechas digitales, acercando a las generaciones que nacieron a la par que las nuevas tecnologías y los que crecieron en un mundo analógico.
Y para terminar, uno vídeo del Gran Chema Alonso sobre este tema:

Vídeo 1: Documental de televisión del programa Crónicas sobre el acoso y los acosadores en la red. Emitido en Junio de 2013 en la 2

Puedes leer y leer, y escuchar y escuchar, buscar y rebuscar, pero un vídeo de Chema y lo entenderás.

Saludos!
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

sábado, 7 de marzo de 2015

Análisis de un Phishing

Esta noche he visto una conferencia de Chema acerca del correo electrónico, el spam, el phishing, etc. Nos comenta que las empresas que ofrecen servicios de correo electrónico, como por ejemplo GMAIL o HOTMAIL han implementado un filtro antispam que analiza los correos que nos llegan a nuestra dirección. Dicho filtro elimina las palabras ruido (artículos, preposiciones, ...) y analiza el resto del contenido del correo, el origen, el modo de escritura, las palabras usadas y un sinfín de parámetros (alrededor de 2000). Una vez hecho este estudio, se da una puntuación al correo para poder clasificarlo si es mayor de un valor concreto en la bandeja de entrada o en la bandeja de basura o spam si esa puntuación es menor.

El vídeo es muy interesante y lo podéis ver aquí:

Vídeo 1: Charla sobre seguridad en Hotmail impartida por Chema Alonso en la Gira Up To Secure 2011

Bien, pues ahora vamos a analizar mi propio buzón de correo de gmail y el contenido de la carpeta spam. Os pongo una captura de pantalla de la bandeja spam de mi correo de gmail:

Figura 1: mi bandeja de spam

Se pueden ver varios correos. Uno de ellos es de FNAC (marcado en rojo), por lo que seguramente será un correo fidedigno que me ha llegado al spam por que me habrán abrasado a correos y en algún momento lo marqué yo como spam. Lo interesante sería pues ir a mi cuenta de FNAC y calcelar la suscripción a sus listas de newletters. Si vemos el contenido se ve que el propio gmail nos da información de porque está ese mensaje ahí, y el propio correo de FNAC tiene la opción de acceder a las newsletters:

Figura 2: correo de FNAC en mi bandeja de spam

Ahora vamos analizar el contenido de uno de los otros correos marcados anteriormente en verde, de los que no conozco al remitente y el asunto está en ingles (muy turbio ya antes de empezar):

Figura 3: correo spam

Vemos que el remitente es desconocido para mi (Libby Guiliano <oueevebpo@tvkursk.ru>) y que viene desde una dirección de Rumanía. En el propio mensaje nos dice Libby Guiliano que ha visto nuestro perfil de facebook y que está con las hormonas un poquito revolucionadas. Se nos vende con una descripción explosiva de su cuerpo y nos da un link para ver más fotos picantes (sigue siendo muy turbio ....). Si copiamos el texto del mensaje y lo pegamos en un bloc de notas, vemos que es ilegible:

Figura 4: texto del correo

Al parecer, el contenido del correo es un texto ilegible, que el remitente ha dispuesto así para ver si podía saltarse los filtros de spam de gmail, y para que nosotros podamos leer lo que le interesa, ha puesto todo el texto de uncolor igual al color dell fondo, por lo que queda oculto y ha cambiado el color a otro distinto a las letras que quiere que leamos, estratégicamente colocadas. En el correo podía verse la palabara "hot photos" escondido entre el resto de caracteres:

Figura 5: texto escondido dentro del mensaje

Lo único que si que está claro es el link que nos manda a la supuesta dirección de sus fotos http://Libby1977.Clever...... tal y tal y tal. Pero si vemos la dirección real a la que vamos cuando hacemos click es esta otra http://libbygia.cleverdati....... tal y tal y tal. Otra vez cosas turbias. Si analizamos esta direcciones en la web http://www.virustotal.com nos dice que la web no es "mala". Puede que no esté troyanizada, pero de momento ya nos han lanzado a una web que no es de una persona directamente, sino de una empresa de contenidos sexuales:

Figura 6: análisis de la url en www.virustotal.com

Análisis final

Sería interesante "educar" nuestra bandeja de spam, diferenciando si los mails son realmente spam o si son mails que nos llegan de newsletters a los que estamos suscritos. Las recomendaciones serían:

  • cancelar nuestra suscripción de listas de correo que ya no deseemos
  • no marcar a lo salvaje los correos no deseados como spam, sino investigar de donde viene e intentar cancelar suscripciones
  • no abrir correos "sospechosos", con asunto en un idioma no común a nuestros hábitos, con remitentes desconocidos
  • si has abierto un correo y trae un enlace en su interior, ummm, no le des click por mucho que te prometan en el mensaje
  • mantén tu sistema actualizado, así como el antivirus y los programas de terceros

Saludos!
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,
Suscribirse a: Entradas (Atom)