Hace unos días publiqué un análisis de cómo intentaron atacar a PabloYglesias haciéndose pasar por los creadores del popular juego Genshin Impact, que me ofrecían un acuerdo publicitario en mis perfiles sociales.
Pues hoy vuelvo con otro ataque, esta vez haciéndose pasar por un antiguo cliente.
Diferente modus operandi, pero el mismo objetivo, como veremos a continuación.
Índice de contenido
El gancho
Como decía, el ataque comienza con un email que me envía Eva, una antigua cliente de Èlia y un servidor, que tenía un negocio relacionado con el TANTRA.
El email simplemente decía:
¡Hola!
Recibí los recibos esenciales de febrero. La documentación es accesible aquí:[URL]
contraseña: [TEXTO]
Por supuesto, cambiando la URL por un documento subido a One Drive, y la contraseña por un texto que a priori permitiría descomprimir el archivo.
Justo después, que fue lo que me extrañó, venían las conversaciones que habíamos tenido hace ya años (2018) cuando trabajamos juntos.
Es más, el propio email parecía una respuesta a aquel hilo de emails cuando empezamos a trabajar (si te fijas, el asunto era RE: TANTRA, siendo RE: lo que suelen poner los gestores de correo cuando se responde a un email).
Sin embargo, había cosas que no cuadraban:
- La primera y más obvia es que el correo no era el mismo que tenía Eva en su día: Es más, la página del dominio parece ser un WordPress abandonado de algún negocio asiático. Vamos, a todas luces una página hackeada.
- Habían eliminado de las respuestas los emails de todos los participantes: esto supongo que lo harán para evitar que la víctima se dé cuenta de que el email que le escribe no concuerda con los emails originales.
- La forma de escribir es… extraña: ¿Recibos esenciales? ¿Qué significa eso?
- Ya hace años que no sé nada de Eva: Suponiendo que me quisiera enviar alguna documentación, qué sentido tiene cuando hace literalmente años que ya hicimos el trabajo para el que nos contrató. No hace falta firmar nada ni que me envíe nada.
El ataque
Básicamente el objetivo era exactamente el mismo que el anterior ataque dirigido que me hicieron.
La URL en efecto pertenecía a una cuenta de One Drive (podría haber sido una página falsa para robar credenciales, pero no era el caso), así que descargué el archivo, que como decía, era un .ZIP protegido por contraseña.
Hacen esto de meter archivos comprimidos y protegidos por contraseña por dos motivos:
- Así pasan fácilmente los controles de seguridad de plataformas de almacenaje online, como es el caso de OneDrive, o en el ataque del otro día, de Mega.
- Además, dan un halo de “seguridad” a todo el proceso: Por que claro, todo el mundo sabe que un archivo protegido con contraseña es más seguro que uno que no lo está…
Sea como fuere, dentro de ese archivo comprimido se encontraba un archivo de Hoja de Calculo en formato .XLSB.
Por supuesto, ese archivo no lo abrí, sino que lo envié a VirusTotal (ES) para confirmar mi sospecha.
En efecto, el archivo ocultaba un troyano.
Simplemente con abrirlo ya me hubieran infectado el dispositivo.
Y hasta aquí puedo contar.
¿Qué podemos hacer para minimizar el riesgo a caer en un ataque de estos?
Piensa que estamos ante lo que podemos llamar un ataque dirigido, es decir, que el atacante se ha tomado como mínimo el tiempo suficiente para saber quién era yo, recuperar esa conversación con un cliente, cambiarle el nombre de la cuenta de email desde la que envía a la que tenía la cliente en cuestión, e intentar atacarme en su nombre.
Es decir, previamente a este ataque muy probablemente a Eva le hayan hackeado su cuenta de correo o el servidor de correo. De ahí le han sacado estas conversaciones, e igual que me están ahora enviando este email a mi, seguramente le han enviado emails parecidos a otros contactos.
Y el problema de estos ataques es que son mucho más difíciles de identificar. Hasta el punto de que, de hacerlos correctamente, no hay apenas manera humana de darse cuenta.
Sin embargo, afortunadamente en este caso parece que ya no tienen acceso a su correo, puesto que no han utilizado su dirección de correo como remitente, por lo que nuevamente se demuestra que aplicar las tres reglas para identificar campañas de phishing siguen funcionando.
Por último, y también como curiosidad, este tipo de correos han pasado por los controles anti-phishing de una plataforma como Google, que es hoy en día de las más potentes del mercado, pero la realidad es que la amplia mayoría de ataques de phishing que me lanzan a mi correo ni tan siquiera me llegan, ya que que en la empresa trabajamos todo desde el ecosistema GSuite, que como ya expliqué en su día, nos evita tener que recibir este tipo de campañas (prácticamente todas) a diario en la bandeja de entrada.
Algo que recomendamos encarecidamente a todos los clientes de CyberBrainers, al salir muchísimo más económico que montarse un IDS y configurar un corta-fuegos efectivo inhouse.
Qué hacer para evitar ser víctima de fraudes
- 3 elementos que delatan a las campañas de phishing o fraude por email
- Qué hacer en caso de haber sido víctima de un fraude
- Cómo recuperar el dinero que nos han robado
- Cómo nos protegemos de los fraudes en Internet
- Cómo saber si esa persona con la que chateamos es quien dice ser
- El papel de los muleros en el cibercrimen
- Así de fácil es caer en una campaña de phishing
Otros fraudes que deberías conocer
- El día que ligué con una capitana del US Army (fraude de la novia rusa)
- Cómo estafaron a mi pareja con un producto vendido en Instagram
- Cómo funciona el timo basado en la extorsión para no divulgar contenido de índole sexual/pornográfico
- Cómo funcionan los fraudes basados en SMSs Premium
- Cómo funciona el timo de: “Tengo fotos tuyas, paga o difundo”
- Cómo funcionan los fraudes de descarga de libros o películas GRATIS
- Cómo estafaron a mi madre con un producto vendido por Wallapop
- Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
- Cómo funciona la estafa del pellet
- Cómo funciona el fraude que se hace pasar por una notificación de la DEHÚ
- Qué tipos de fraude por Wallapop existen
- Cómo me intentaron estafar con el alquiler de un piso
- Cómo funcionan los fraudes por Facebook
- Cómo funciona el timo de la compra de fotos o arte NFT
- Cómo me estafaron 400 euros con un producto vendido en Amazon
- Cómo funcionan los fraudes basados en iCloud
- Cómo funciona la estafa del chulo y las prostitutas
- Cómo funciona el fraude de BlaBlaCar
- Cómo funcionan las estafas de criptomonedas de tipo Rug Pull
- Cómo funciona el fraude del viejo contacto
- Cómo funcionan los fraudes dirigidos a creadores de contenido
- Cómo funciona el fraude del incumplimiento de copyright con imágenes