Página principal » cómo » Seguridad en línea que rompe la anatomía de un correo electrónico de phishing

    Seguridad en línea que rompe la anatomía de un correo electrónico de phishing


    En el mundo de hoy, donde la información de todos está en línea, el phishing es uno de los ataques en línea más populares y devastadores, porque siempre puede limpiar un virus, pero si le roban sus datos bancarios, tiene problemas. Aquí hay un desglose de uno de esos ataques que recibimos.

    No piense que solo sus datos bancarios son importantes: después de todo, si alguien obtiene el control sobre el inicio de sesión de su cuenta, no solo conocen la información contenida en esa cuenta, sino que lo más probable es que se pueda usar la misma información de inicio de sesión en otros cuentas Y si comprometen su cuenta de correo electrónico, pueden restablecer todas sus otras contraseñas.

    Por lo tanto, además de mantener contraseñas seguras y variables, siempre debe estar atento a los correos electrónicos falsos que se hacen pasar por la realidad. Si bien la mayoría de los intentos de phishing son no profesionales, algunos son bastante convincentes, por lo que es importante comprender cómo reconocerlos a nivel de superficie y cómo funcionan bajo el capó..

    Imagen de asirap.

    Examinando lo que está a simple vista

    Nuestro correo electrónico de ejemplo, como la mayoría de los intentos de phishing, le "notifica" la actividad en su cuenta de PayPal que, en circunstancias normales, sería alarmante. Entonces, el llamado a la acción es verificar / restaurar su cuenta enviando casi toda la información personal que pueda imaginar. De nuevo, esto es bastante formulaico..

    Si bien hay excepciones, casi todos los correos electrónicos de phishing y estafas se cargan con señales de advertencia directamente en el mensaje. Incluso si el texto es convincente, generalmente puede encontrar muchos errores en todo el cuerpo del mensaje que indican que el mensaje no es legítimo..

    El cuerpo del mensaje

    A primera vista, este es uno de los mejores correos electrónicos de phishing que he visto. No hay errores ortográficos ni gramaticales, y la verborrea se lee de acuerdo con lo que usted podría esperar. Sin embargo, hay algunos indicadores que puedes ver cuando examinas el contenido un poco más de cerca..

    • "Paypal": el caso correcto es "PayPal" (capital P). Puedes ver las dos variaciones que se usan en el mensaje. Las empresas son muy deliberadas con su marca, por lo que es dudoso que algo así pase el proceso de revisión..
    • "Permitir ActiveX": ¿Cuántas veces ha visto un negocio legítimo basado en la web del tamaño de Paypal que usa un componente propietario que solo funciona en un único navegador, especialmente cuando son compatibles con varios navegadores? Claro, en algún lugar por ahí alguna compañía lo hace, pero esto es una bandera roja..
    • "De forma segura". - Observe cómo esta palabra no se alinea en el margen con el resto del texto del párrafo. Incluso si estiro la ventana un poco más, no se ajusta ni se espacia correctamente.
    • "Paypal!" - El espacio antes del signo de exclamación se ve incómodo. Sólo otra peculiaridad que estoy seguro no estaría en un correo electrónico legítimo.
    • “PayPal: Formulario de actualización de cuenta.pdf.htm”: ¿Por qué Paypal adjuntaría un “PDF”, especialmente cuando solo podían enlazar a una página en su sitio? Además, ¿por qué intentarían disfrazar un archivo HTML como un PDF? Esta es la bandera roja más grande de todas..

    El encabezado del mensaje

    Cuando miras el encabezado del mensaje, aparecen un par de banderas rojas más:

    • La dirección de origen es [email protected].
    • Falta la dirección para. No lo dejé en blanco, simplemente no forma parte del encabezado de mensaje estándar. Normalmente, una empresa que tenga su nombre le personalizará el correo electrónico..

    El adjunto

    Cuando abro el archivo adjunto, puedes ver inmediatamente que el diseño no es correcto, ya que falta información de estilo. Nuevamente, ¿por qué PayPal enviaría un formulario HTML por correo electrónico cuando simplemente podrían darle un enlace en su sitio??

    Nota: utilizamos el visor de adjuntos HTML incorporado de Gmail para esto, pero le recomendamos que NO ABRA los adjuntos de los estafadores. Nunca. Siempre. Muy a menudo contienen vulnerabilidades que instalarán troyanos en su PC para robar la información de su cuenta.

    Si se desplaza un poco más, verá que este formulario solicita no solo nuestra información de inicio de sesión de PayPal, sino también la información bancaria y de tarjetas de crédito. Algunas de las imágenes están rotas..

    Es obvio que este intento de phishing va después de todo con un solo golpe..

    El desglose técnico

    Si bien debería estar bastante claro, basándonos en lo que está a la vista de que se trata de un intento de phishing, ahora vamos a desglosar la composición técnica del correo electrónico y ver qué podemos encontrar..

    Información del Adjunto

    Lo primero que debe echarle un vistazo es la fuente HTML del formulario de adjunto, que es lo que envía los datos al sitio falso..

    Al ver rápidamente la fuente, todos los enlaces aparecen como válidos, ya que apuntan a "paypal.com" o "paypalobjects.com", que son legítimos.

    Ahora vamos a echar un vistazo a la información básica de la página que Firefox reúne en la página..

    Como puede ver, algunos de los gráficos se extraen de los dominios "blessedtobe.com", "goodhealthpharmacy.com" y "pic-upload.de" en lugar de los dominios legítimos de PayPal.

    Información de los encabezados de correo electrónico

    A continuación, vamos a echar un vistazo a los encabezados de mensajes de correo electrónico en bruto. Gmail hace que esté disponible a través de la opción de menú Mostrar original en el mensaje.

    Al consultar la información del encabezado del mensaje original, puede ver que este mensaje se redactó con Outlook Express 6. Dudo que PayPal tenga un miembro del personal que envíe cada uno de estos mensajes manualmente a través de un cliente de correo electrónico obsoleto..

    Ahora, mirando la información de enrutamiento, podemos ver la dirección IP del remitente y del servidor de correo de retransmisión.

    La dirección IP del "Usuario" es el remitente original. Haciendo una búsqueda rápida en la información de IP, podemos ver que la IP de envío está en Alemania.

    Y cuando observamos el servidor de correo de retransmisión (mail.itak.at), la dirección IP podemos ver que se trata de un ISP con sede en Austria. Dudo que PayPal enrute sus correos electrónicos directamente a través de un ISP basado en Austria cuando tienen una granja de servidores masiva que podría manejar esta tarea fácilmente.

    ¿A dónde van los datos??

    Por lo tanto, hemos determinado claramente que se trata de un correo electrónico de suplantación de identidad (phishing) y hemos recopilado información acerca de dónde se originó el mensaje, pero sobre qué se envía su información.?

    Para ver esto, primero tenemos que guardar el archivo adjunto HTM en nuestro escritorio y abrirlo en un editor de texto. Desplazándose por él, todo parece estar en orden, excepto cuando llegamos a un bloque de Javascript con aspecto sospechoso..

    Al descifrar la fuente completa del último bloque de Javascript, vemos:


    // Copyright © 2005 Voormedia - WWW.VOORMEDIA.COM
    a la vena de

    Cada vez que vea una gran cantidad de letras y números aparentemente aleatorios incrustados en un bloque de JavaScript, generalmente es algo sospechoso. Mirando el código, la variable "x" se establece en esta cadena grande y luego se decodifica en la variable "y". El resultado final de la variable "y" se escribe en el documento como HTML.

    Dado que la cadena grande está formada por los números 0-9 y las letras a-f, lo más probable es que se codifique mediante una simple conversión ASCII a hexadecimal:

    3c666f726d206e616d653d226d61696e222069643d226d61696e22206d6574686f643d22706fuchas de las personas de la naturaleza.

    Se traduce a

    No es una coincidencia que esto se decodifique en una etiqueta de formulario HTML válida que envíe los resultados no a PayPal, sino a un sitio deshonesto.

    Además, cuando vea la fuente HTML del formulario, verá que esta etiqueta de formulario no es visible porque se genera dinámicamente a través del Javascript. Esta es una forma inteligente de ocultar lo que realmente hace el HTML si alguien simplemente viera la fuente generada del archivo adjunto (como hicimos anteriormente) en lugar de abrirlo directamente en un editor de texto..

    Al ejecutar un whois rápido en el sitio ofensivo, podemos ver que este es un dominio alojado en un host web popular, 1 y 1.

    Lo que se destaca es que el dominio usa un nombre legible (a diferencia de algo como "dfh3sjhskjhw.net") y el dominio se ha registrado durante 4 años. Debido a esto, creo que este dominio fue secuestrado y utilizado como un peón en este intento de phishing.

    El cinismo es una buena defensa

    Cuando se trata de mantenerse seguro en línea, nunca está de más tener un poco de cinismo..

    Aunque estoy seguro de que hay más señales de advertencia en el correo electrónico de ejemplo, lo que hemos señalado anteriormente son los indicadores que vimos después de unos minutos de examen. Hipotéticamente, si el nivel de superficie del correo electrónico imitaba a su contraparte legítima al 100%, el análisis técnico aún revelaría su verdadera naturaleza. Por eso es importante poder examinar tanto lo que puede como lo que no puede ver..