Mostrando entradas con la etiqueta Spam. Mostrar todas las entradas
Mostrando entradas con la etiqueta Spam. Mostrar todas las entradas

jueves, 7 de mayo de 2015

Análisis de un Phishing II

Hoy he recibido un mail. El remitente era un cliente de mi empresa, pero el asunto estaba en inglés. Me ha parecido sospechoso que llegase a mi bandeja de entrada, y que normalmente lo hacen a la carpeta de SPAM. 

Figura 1: captura de pantalla de la bandeja de entrada
 Una vez que lo he abierto (solo por curiosear, ya que lo suyo habría sido eliminarlo sin abrirlo si quiera), este era el contenido del mensaje:
Figura 2: contenido del mensaje
Para un usuario normal, puede parecer que mi cliente me ha mandado un mensaje, que parece ser un vídeo de Whatsapp, que lo ha enviado en esa fecha y hora (hoy 7 de mayo de 2015 a la 1:11:53 de la mañana), y no se porque, pero me llega al correo, cuando Whatsapp no tiene mi correo. Que turbio!!!

Para el ojo inexperto podría parecer normal, pero sin entrar en tecnicismos podemos ver un comportamiento "raro". Si paso el ratón sobre el botón verde de "PLAY", veo que hace cosas distintas si estoy a la izquierda de la palabra "PLAY", sobre ella o a su derecha:
Figura 3: a la izquierda de "PLAY" sale la flechita típica del ratón
Figura 4: sobre la palabra "PLAY" sale la mano de acceso a un enlace
Figura 5: a la derecha de la palabra "PLAY" también sale la mano indicando que es un enlace
Si fuese algo legítimo (o un poquitín mejor hecho), el comportamiento sería el mismo en las 3 posiciones o solo saldría la mano sobre el "PLAY". Además de que está escrito en inglés, que Whatsapp no manda correos, que el asunto es "Body, meet food coma", ... y revisando la información del enlace que aparece en la parte inferior de la pantalla cuando el cursor es una manita, vemos que el enlace es a un dominio llamado http://aidanharticons.com/.....
Figura 6: dirección del enlace fraudulento
Y la parte técnica: si en GMAIL abrimos la opción de "Mostrar original", podemos ver el contenido del mismo, un código HTML con dos enlaces a este mismo dominio:
Figura 7: código fuente del contenido del mail
Para terminar, un par de vídeos que ya os he recomendado en otras ocasiones del gran Chema sobre seguridad en los correos electrónicos:
Vídeo 1: Hotmail y la seguridad en el correo electrónico
Vídeo 2: Chema Alonso en X Fórum AUSAPE: Decálogo de Seguridad Maligno
Saludos!
Publicado por en No hay comentarios:
Etiquetas: , , , ,

sábado, 7 de marzo de 2015

Análisis de un Phishing

Esta noche he visto una conferencia de Chema acerca del correo electrónico, el spam, el phishing, etc. Nos comenta que las empresas que ofrecen servicios de correo electrónico, como por ejemplo GMAIL o HOTMAIL han implementado un filtro antispam que analiza los correos que nos llegan a nuestra dirección. Dicho filtro elimina las palabras ruido (artículos, preposiciones, ...) y analiza el resto del contenido del correo, el origen, el modo de escritura, las palabras usadas y un sinfín de parámetros (alrededor de 2000). Una vez hecho este estudio, se da una puntuación al correo para poder clasificarlo si es mayor de un valor concreto en la bandeja de entrada o en la bandeja de basura o spam si esa puntuación es menor.

El vídeo es muy interesante y lo podéis ver aquí:

Vídeo 1: Charla sobre seguridad en Hotmail impartida por Chema Alonso en la Gira Up To Secure 2011

Bien, pues ahora vamos a analizar mi propio buzón de correo de gmail y el contenido de la carpeta spam. Os pongo una captura de pantalla de la bandeja spam de mi correo de gmail:

Figura 1: mi bandeja de spam

Se pueden ver varios correos. Uno de ellos es de FNAC (marcado en rojo), por lo que seguramente será un correo fidedigno que me ha llegado al spam por que me habrán abrasado a correos y en algún momento lo marqué yo como spam. Lo interesante sería pues ir a mi cuenta de FNAC y calcelar la suscripción a sus listas de newletters. Si vemos el contenido se ve que el propio gmail nos da información de porque está ese mensaje ahí, y el propio correo de FNAC tiene la opción de acceder a las newsletters:

Figura 2: correo de FNAC en mi bandeja de spam

Ahora vamos analizar el contenido de uno de los otros correos marcados anteriormente en verde, de los que no conozco al remitente y el asunto está en ingles (muy turbio ya antes de empezar):

Figura 3: correo spam

Vemos que el remitente es desconocido para mi (Libby Guiliano <oueevebpo@tvkursk.ru>) y que viene desde una dirección de Rumanía. En el propio mensaje nos dice Libby Guiliano que ha visto nuestro perfil de facebook y que está con las hormonas un poquito revolucionadas. Se nos vende con una descripción explosiva de su cuerpo y nos da un link para ver más fotos picantes (sigue siendo muy turbio ....). Si copiamos el texto del mensaje y lo pegamos en un bloc de notas, vemos que es ilegible:

Figura 4: texto del correo

Al parecer, el contenido del correo es un texto ilegible, que el remitente ha dispuesto así para ver si podía saltarse los filtros de spam de gmail, y para que nosotros podamos leer lo que le interesa, ha puesto todo el texto de uncolor igual al color dell fondo, por lo que queda oculto y ha cambiado el color a otro distinto a las letras que quiere que leamos, estratégicamente colocadas. En el correo podía verse la palabara "hot photos" escondido entre el resto de caracteres:

Figura 5: texto escondido dentro del mensaje

Lo único que si que está claro es el link que nos manda a la supuesta dirección de sus fotos http://Libby1977.Clever...... tal y tal y tal. Pero si vemos la dirección real a la que vamos cuando hacemos click es esta otra http://libbygia.cleverdati....... tal y tal y tal. Otra vez cosas turbias. Si analizamos esta direcciones en la web http://www.virustotal.com nos dice que la web no es "mala". Puede que no esté troyanizada, pero de momento ya nos han lanzado a una web que no es de una persona directamente, sino de una empresa de contenidos sexuales:

Figura 6: análisis de la url en www.virustotal.com

Análisis final

Sería interesante "educar" nuestra bandeja de spam, diferenciando si los mails son realmente spam o si son mails que nos llegan de newsletters a los que estamos suscritos. Las recomendaciones serían:

  • cancelar nuestra suscripción de listas de correo que ya no deseemos
  • no marcar a lo salvaje los correos no deseados como spam, sino investigar de donde viene e intentar cancelar suscripciones
  • no abrir correos "sospechosos", con asunto en un idioma no común a nuestros hábitos, con remitentes desconocidos
  • si has abierto un correo y trae un enlace en su interior, ummm, no le des click por mucho que te prometan en el mensaje
  • mantén tu sistema actualizado, así como el antivirus y los programas de terceros

Saludos!
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,
Suscribirse a: Entradas (Atom)