Phishing


Estos días he estado liado configurando adecuadamente algunos aspectos técnicos del email que envío cada lunes a todos los miembros de la Comunidad.

Y en medio del jaleo, se me ocurrió preparar una pieza sobre los cuatro puntos que identifican a la amplia mayoría de scams. Ya sabe, esos correos cuyo cometido no es spamearnos con basura, sino engañarnos con fines económicos.

Campañas de phishing las hay para todos los gustos. Que si el típico príncipe Nigeriano (X persona de X país se pone en contacto con usted porque por X motivo quiere cederle su fortuna a cambio de prácticamente nada), las novias rusas (una mujer muy atractiva se pone en contacto ya que al parecer ha quedado prendada de su foto de perfil en RRSS o de su seductor correo electrónico, y quiere conocerlo en persona, para lo que tendrá que pagar X dinero que le permita llegar a su país, y que, por supuesto, saldrá de su bolsillo) o fraudes de mil y un tipos (alguien vende/alquila/compra algo a un precio increíble, pero siempre habrá portes que curiosamente los debe pagar usted). En menor escala tenemos campañas de spear phishing (ES), cuyo modus operandi ya no es engañar a cualquiera, sino a alguien en especial (por ejemplo, un trabajador de X compañía), y cuyos objetivos suelen tener que ver con la instalación de malware, bien sea con fines de espionaje (político, industrial…), bien sea con fines puramente económicos (infectar a los sistemas de la organización con un ransomware para luego pedir rescate, revender la información filtrada a terceros, utilizar esa información para causar daño a la persona o a la organización…).

Y poco a poco se van sofisticando, buscando canales alternativos para pasar desapercibidos, e incluso adaptándose a la víctima bajo sistemas asistidos por inteligencia artificial.

Pero el grueso de las campañas son afortunadamente tan descaradas y tienen tantas cosas en común, que basta con que utilicemos un poco el sentido común, y no caigamos en la dictadura de la urgencia, que son fácilmente identificables.

Estos son los 4 puntos a tener en cuenta:

1º- El remitente

Normalmente solo con mirar este punto ya podemos cerciorarnos de que estamos ante un email verídico o una falsificación.


Si se trata de un email institucional (notificación del banco/correos/google/paypal…), el email vendrá de una dirección de correo @nombredelaorganización.extensión. No se lo van a enviar desde @gmail.com o desde @yahoo.com, y mucho menos desde sub-dominios raros como @google.account.com o @hacienda.noreply.es.

El dominio es el elemento que está justo antes de la extensión, que a veces puede ser doble (en plan @google.com.mx). Y subdominios podemos crear prácticamente de forma ilimitada en cada dominio. Para entendernos:

Algo que venga de “correos.mails.co” no proviene del dominio “correos.co”, sino del dominio “mails.co”, con subdominio “correos”, que vaya usted a saber de quién es.

Incluso hay veces que los cibercriminales intentan engañar a la víctima poniendo de nombre del remitente un correo verídico.

Analicé un caso semejante en aquella auditoría que hice a una campaña de phishing cuyo objetivo era engañar a vendedores de segunda mano (que no compradores), y que casualmente se pusieron en contacto con mi madre por la venta de una Thermomix.

paypal fail direccion En aquella situación, el correo lo enviaban desde [email protected], pero en el nombre del remitente aparecía [email protected]. Habrá víctimas que ven lo primero y no se dan cuenta de que realmente eso solo es un texto que cualquiera puede modificar. Lo importante es la cuenta de correo, no el nombre.

2º- El asunto

Las oportunidades increíbles, los chollos de última hora y todas esas situaciones que parecen sacadas de un libro de cuentos, son, generalmente, falacia. Hay gato encerrado, y sino al tiempo.


Nadie le va a regalar un iPhone o darle X dinero porque al parecer ha ganado un sorteo/lotería al que ni siquiera había participado.

Su banco, su proveedor de servicios, o quien sea, no le va a pedir por un email que le diga las credenciales de acceso a su cuenta. Más que nada porque si de verdad las necesitan, ¡ya las tienen!

Que en un potencial acuerdo, la otra persona esté fuera del país, puede ocurrir. Pero que para llegar al acuerdo usted deba hacer un ingreso por EasyMoney, Western Union, o BitCoin, debería levantarle las alarmas. Para algo tenemos los bancos o PayPal. Sistemas que han demostrado ser traceables en caso de fraude.

Ningún familiar o amigo se va a poner en contacto con usted para pedirle dinero urgentemente por un canal digital. A lo sumo le pedirá su teléfono y le llamará en persona.

Todos los casos de phishing buscan que la víctima haga algo sin pensar, ya que a poco que analice la situación se va a dar cuenta de que algo raro ocurre. Y para ello imploran a esos principios de la ingeniería social que tantas veces hemos comentado. Que si urgencia (lo hay que hacer ya por X motivo), que si validación social (lo tiene que hacer porque el resto del departamento/amistades lo ha hecho), que si autoridad (tiene que hacerlo ya que quien se lo pide, supuestamente, es un superior)

Ante la duda vale más que nos pongamos en contacto con la persona u organización por un canal oficial y confirmemos que en efecto es real.

3º- El cómo está escrito

Aquí los que vivimos en países hispanohablantes tenemos ventaja.


Generalmente las campañas de phishing se diseñan primero en inglés, por ser el idioma más extendido a nivel digital, y luego se traducen al español, al ruso, al chino, al francés y al resto de idiomas.

Pero quienes lo llevan a cabo solo saben hablar fluidamente en inglés (y a veces ni eso), por lo que tiran de Google Translate, dando como resultado emails que como mínimo están mal redactados.

En todo este tiempo he notado muchísima diferencia entre campañas en inglés (por aquí tiene un ejemplo) y campañas en español, que dan hasta para partirse el culo un buen rato, como fue el caso de mi amor imposible con la supuesta Capt. Kristen del Ejército de EEUU.

Otras veces, sobre todo en casos de spear phishing, la víctima puede darse cuenta por el tono, quizás demasiado informal para venir de un superior, quizás muy formal para ser Manolo, su amigo de la infancia.

4º- Enlaces y adjuntos

La guinda del pastel son los recursos adicionales que acompañan al propio email.

Hay por lo menos 7 maneras de ofuscar URLs en campañas de phishing. ¿El objetivo? Que la víctima piense que está entrando en una página cuando realmente le lleva a otra.

Un típico caso de campaña sería las que habitualmente azotan a los clientes de Banamex, en las que el usuario, esgrimiendo la excusa que sea, se le insta a meter sus credenciales en una web que es semejante a la web oficial del banco pero bajo el control de los atacantes, y con un dominio que puede ser tan parecido como bananmex.com.

De nuevo, tan importante es fijarse en el correo que nos envía el email como en el enlace final que aparece en nuestra barra de navegación.

Los ciberdelincuentes pueden llegar incluso a aprovecharse de técnicas de typosquatting (por ejemplo, hacerse pasar por Google con un dominio gugle.com, que es como lo dice la gente) o mediante homógrafos (¿Ves la diferencia entre www.google.com y www.googIe.com? Puesto que la tipografía de mi página es sans serif, no se nota, pero en una tipografía con serifa se ve que en el primer caso la “l” es en efecto una “ele” minúscula, y en el segundo en realidad es una “i” mayúscula).

Google verificado Para saber que estamos en la web legítima es importante que la barra de navegación muestre que la página es segura y está firmada por la organización oportuna, que hoy en día con que tenga SSL no es suficiente.

Y por supuesto, lo más recomendable es directamente entrar en la página desde una búsqueda en Google, sin utilizar el enlace que nos hayan pasado en el email.

Respecto a los adjuntos, la mayoría de gestores de correo tienen filtros que analizan de antemano los adjuntos en busca de malware, pero no siempre son 100% efectivos. Por ello lo más recomendable es que ante la mínima sospecha de que el email es fraudulento, no se abra ningún adjunto.

Muchos de los malwares difundidos en campañas de phishing encubren su fichero malicioso aparentemente bajo extensiones tan habituales como .pdf, .docx, o incluso imágenes que necesitan cargar contenido de terceros.

Sin ir más lejos, recientemente han proliferado considerablemente las campañas de ransomware dirigidas a trabajadores de recursos humanos, de manera que, con la excusa de enviar un currículum, el documento de Word resultante pide que se carguen las macros (una extensión de Word), donde viene el regalito.

En campañas de spear phishing a veces los ataques son tan sofisticados como cabría esperar, enviando primero una serie de imágenes que son realmente imágenes (por ejemplo, para enamorar a la víctima) y en futuros emails otra imagen que viene con regalito.

Una alternativa en caso de no estar seguro pasaría por descargar el adjunto y, sin abrirlo, enviarlo a una página como VirusTotal (ES), que compara el hash en múltiples antivirus en línea por ver si hay registro de que pueda estar infectado. Si pasa todos los controles, parece ser legítimo (puede que sea tan nuevo que todavía no ha sido fichado), y podemos abrirlo.

Con estos cuatro puntos hemos cubierto la mayoría de detonantes que nos alertan de estar ante un email fraudulento. Ahora toca aplicarlo en nuestro día a día.

 

________

Puede ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias