Mostrando entradas con la etiqueta email. Mostrar todas las entradas
Mostrando entradas con la etiqueta email. Mostrar todas las entradas

miércoles, 30 de septiembre de 2015

Análisis de un Phishing (v.2)

Hace unos días recibí un correo electrónico que entró a la bandeja de entrada como uno más. El asunto resultaba sospechoso, ya que estaba en ingles y decía que había recibido un nuevo fax:

  • New 2 page(s) eFax from (334) 306-5677

Vamos a analizar un poco más su contenido:
Figura 1: Analizamos un ejemplo real de phising
Enumerando las cosas extrañas que vi:

  • El idioma es inglés
  • ¿Se supone que alguien quiere mandarme un fax? ¿aún queda de eso?
  • Tiene un fichero adjunto
  • No conozco al remitente
  • El teléfono de origen del fax no es español -> (334) 306-5677


Figura 2: captura de pantalla de mi bandeja de entrada
Me resultó extraño también que los filtros de gmail lo pasasen como bueno y no lo metiesen en la bandeja de SPAM, por lo que decidí dejarlo unos días más para ver como trata GMAIL el asunto.

Al cabo de unos días el mensaje fue movido a la carpeta de basura y varias alertas se podían ver al acceder al mail:
Figura 3: captura de pantalla de la carpeta de SPAM
El documento adjunto tenía extensión de WORD, pero pudiera ser un EXE camuflado o un WORD con macros, dos técnicas muy extendidas para difundir troyanos. Lo sorprendente es que toda la información de la empresa que al parecer tiene el fax que he de descargar y que ha hecho de intermediaria entre el usuario ficticio que quiere mandarme un fax y yo, es totalmente real, con datos reales de contacto, teléfono, mail, ... O sea, la empresa eFax es legítima y su identidad ha sido suplantada para hacer creer a quien recibe el mail que realmente hay un fax para él, es decir, un PHISING en toda regla. La calidad de la copia no es que sea buena, si no que es la misma que la de la empresa legítima: buena calidad en la imágenes, mismas imágenes corporativas que la empresa eFax, logos idénticos, no hay faltas de ortografía ni link a páginas extrañas. Simplemente un word adjunto con un troyano. ASOMBROSO !!!

Recomendaciones para evitar ser troyanizados en este caso: 
  • no abrir correos de desconocidos 
  • no abrir correos de idiomas de los que nos se esperan recibir mail
  • nunca abrir los adjuntos directamente en internet, siempre descargarlo, analizarlo con el antivirus y luego si está limpio, abrir
  • tener nuestro sistema actualizado
  • tener un buen programa antivirus


Para terminar, un par de vídeos con unas demos de Chema haciendo un phising en directo:


Vídeo 1: Entrevista de Pablo Motos a Chema Alonso en El Hormiguero. En la entrevista se hace una demo de phishing para robar cuentas de Apple iCloud
El contenido de la demo está ampliada en esta dirección:

Figura 4: web elladodelmal con entrada de información
Y otro vídeo con un breve resumen sobre phising:

Vídeo 2: el phising en 2 minutos


Saludos!

Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

sábado, 7 de marzo de 2015

Análisis de un Phishing

Esta noche he visto una conferencia de Chema acerca del correo electrónico, el spam, el phishing, etc. Nos comenta que las empresas que ofrecen servicios de correo electrónico, como por ejemplo GMAIL o HOTMAIL han implementado un filtro antispam que analiza los correos que nos llegan a nuestra dirección. Dicho filtro elimina las palabras ruido (artículos, preposiciones, ...) y analiza el resto del contenido del correo, el origen, el modo de escritura, las palabras usadas y un sinfín de parámetros (alrededor de 2000). Una vez hecho este estudio, se da una puntuación al correo para poder clasificarlo si es mayor de un valor concreto en la bandeja de entrada o en la bandeja de basura o spam si esa puntuación es menor.

El vídeo es muy interesante y lo podéis ver aquí:

Vídeo 1: Charla sobre seguridad en Hotmail impartida por Chema Alonso en la Gira Up To Secure 2011

Bien, pues ahora vamos a analizar mi propio buzón de correo de gmail y el contenido de la carpeta spam. Os pongo una captura de pantalla de la bandeja spam de mi correo de gmail:

Figura 1: mi bandeja de spam

Se pueden ver varios correos. Uno de ellos es de FNAC (marcado en rojo), por lo que seguramente será un correo fidedigno que me ha llegado al spam por que me habrán abrasado a correos y en algún momento lo marqué yo como spam. Lo interesante sería pues ir a mi cuenta de FNAC y calcelar la suscripción a sus listas de newletters. Si vemos el contenido se ve que el propio gmail nos da información de porque está ese mensaje ahí, y el propio correo de FNAC tiene la opción de acceder a las newsletters:

Figura 2: correo de FNAC en mi bandeja de spam

Ahora vamos analizar el contenido de uno de los otros correos marcados anteriormente en verde, de los que no conozco al remitente y el asunto está en ingles (muy turbio ya antes de empezar):

Figura 3: correo spam

Vemos que el remitente es desconocido para mi (Libby Guiliano <oueevebpo@tvkursk.ru>) y que viene desde una dirección de Rumanía. En el propio mensaje nos dice Libby Guiliano que ha visto nuestro perfil de facebook y que está con las hormonas un poquito revolucionadas. Se nos vende con una descripción explosiva de su cuerpo y nos da un link para ver más fotos picantes (sigue siendo muy turbio ....). Si copiamos el texto del mensaje y lo pegamos en un bloc de notas, vemos que es ilegible:

Figura 4: texto del correo

Al parecer, el contenido del correo es un texto ilegible, que el remitente ha dispuesto así para ver si podía saltarse los filtros de spam de gmail, y para que nosotros podamos leer lo que le interesa, ha puesto todo el texto de uncolor igual al color dell fondo, por lo que queda oculto y ha cambiado el color a otro distinto a las letras que quiere que leamos, estratégicamente colocadas. En el correo podía verse la palabara "hot photos" escondido entre el resto de caracteres:

Figura 5: texto escondido dentro del mensaje

Lo único que si que está claro es el link que nos manda a la supuesta dirección de sus fotos http://Libby1977.Clever...... tal y tal y tal. Pero si vemos la dirección real a la que vamos cuando hacemos click es esta otra http://libbygia.cleverdati....... tal y tal y tal. Otra vez cosas turbias. Si analizamos esta direcciones en la web http://www.virustotal.com nos dice que la web no es "mala". Puede que no esté troyanizada, pero de momento ya nos han lanzado a una web que no es de una persona directamente, sino de una empresa de contenidos sexuales:

Figura 6: análisis de la url en www.virustotal.com

Análisis final

Sería interesante "educar" nuestra bandeja de spam, diferenciando si los mails son realmente spam o si son mails que nos llegan de newsletters a los que estamos suscritos. Las recomendaciones serían:

  • cancelar nuestra suscripción de listas de correo que ya no deseemos
  • no marcar a lo salvaje los correos no deseados como spam, sino investigar de donde viene e intentar cancelar suscripciones
  • no abrir correos "sospechosos", con asunto en un idioma no común a nuestros hábitos, con remitentes desconocidos
  • si has abierto un correo y trae un enlace en su interior, ummm, no le des click por mucho que te prometan en el mensaje
  • mantén tu sistema actualizado, así como el antivirus y los programas de terceros

Saludos!
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,
Suscribirse a: Entradas (Atom)