¿Has recibido una notificación por correo electrónico de la Junta de Andalucía? ¡Cuidado! Podría ser phishing

Tal y como venimos avisando en una serie de artículos en nuestro blog durante las últimas semanas, los casos de phishing se han ido multiplicando desde mediados de 2018. Hay varias razones que podrían explicar este notable incremento: desde la reactivación de ciertas botnets a la redistribución de recursos por parte de los delincuentes tras el descenso de la rentabilidad en los ataques relacionados con criptomonedas.

Phishing para todos los gustos

Tal y como hemos indicado, el número de casos de phishing ha ido creciendo alarmantemente durante los últimos meses. A pesar de esto, las técnicas utilizadas no han variado en exceso con respecto a las suplantaciones de identidad que se vienen observando desde hace años y seguimos viendo como los delincuentes consiguen obtener víctimas sin demasiado esfuerzo.

Además de los clásicos casos de phishing bancario, donde se busca robar las credenciales de la víctima para realizar transferencias a una cuenta controlada por los delincuentes, también se producen casos de phishing orientado a hacerse con el acceso a servicios online tan utilizados actualmente como son Facebook, Dropbox, WeTransfer, Apple ID o Netflix, entre muchos otros.

Sin embargo, la principal preocupación que tenemos actualmente es el elevado número de cuentas de correo corporativas comprometidas que están siendo utilizadas por los delincuentes para el envío masivo de spam, incluyendo las campañas de phishing. Como ejemplo tenemos un caso reciente que afecta nada menos que a centros educativos de la comunidad autónoma de Andalucía y que vamos a analizar a continuación.

Correo sospechoso desde la Junta de Andalucía

El pasado martes 6 de marzo alrededor de las 17:30 de la tarde recibimos un primer correo con un asunto y contenido bastante sospechosos. Al principio, al ver el remitente pensamos que alguien se había confundido a la hora de enviar el email, pero el texto que contenía junto con los enlaces proporcionados nos hizo pensar que aquí había gato encerrado.

Este mismo correo ha sido reenviado en el día de hoy (11 de marzo) por la mañana, aunque con un remitente diferente, lo que demuestra que los atacantes siguen teniendo acceso a varias cuentas corporativas pertenecientes a centros educativos de Andalucía.

En el caso de que el destinatario del correo pulse sobre alguno de los enlaces proporcionados será redirigido a un sencillo formulario donde se solicita la dirección de correo electrónico del usuario y su contraseña. Debemos destacar que este formulario se ha realizado utilizando una plataforma legítima de generación de formularios, algo que nos puede hacer sospechar de las habilidades técnicas (o la carencia de ellas) de las personas que hay detrás de esta campaña.

Tras introducir estos datos, tan solo se nos muestra una pantalla de agradecimiento por haber rellenado los campos solicitados.

Buscando información adicional de los centros afectados

En los dos casos contabilizados hasta el momento de escribir estas líneas, hemos visto como los correos se han enviado desde emails relacionados con el sector de la educación de la Junta de Andalucía. Esto es fácil de adivinar a simple vista por el subdominio .edu utilizado tras el código numérico, siendo el formato del mensaje tal que así: XXXXXXXX.edu@juntadeandalucia.es

Lo lógico es pensar que ese código numérico al inicio de la dirección de email fuera el identificador del centro educativo desde donde se había mandado el mensaje, así que buscamos alguna forma de ubicar físicamente esos centros. No tardamos en encontrar un buscador de centros de la Consejería de Educación de la Junta de Andalucía, desde donde obtuvimos los datos que necesitábamos para contactar con ellos.

En el caso que ocurrió el pasado miércoles no fue hasta el día siguiente cuando pudimos hablar por teléfono con un responsable del centro educativo quien nos confirmó que, efectivamente, habían sufrido una intrusión en sus sistemas y que los atacantes la habían aprovechado para lanzar cientos de mensajes como el que hemos visto. Tras agradecerle la información proporcionada y ofrecerles nuestra ayuda para lo que necesitasen cerramos el caso ya que pensamos que se trataba de algo aislado.

Sin embargo, la recepción en el día de hoy de otro mensaje idéntico nos hace sospechar que pueden ser bastantes más los centros afectados y que alguien esté intentando recopilar información de cuentas de correo. Lo que aun no sabemos es si estos emails se envían de forma indiscriminada o si bien los responsables de esta campaña tienen un listado de empresas y particulares a los que enviar este tipo de correos.

También existe la posibilidad de que todo esto sea una prueba de auditoría interna para ver cuanta gente relacionada con la Junta de Andalucía cae en una trampa de este tipo pero, en ese caso, no tendría sentido que se enviasen estos emails a direcciones que nada tiene que ver con esta administración.

Conclusión

Sin duda estamos ante un caso interesante de phishing que seguiremos de cerca hasta su esclarecimiento. El phishing usado en este caso no es especialmente complejo, pero que los envíos se realicen desde cuentas oficiales de centros educativos andaluces nos preocupa ya que podrían ser utilizados como remitentes legítimos que los filtros de correo no suelen bloquear. Si las personas detrás de esta campaña mejoran el cuerpo del mensaje y la web a la que se redirige al usuario, podrían realizar efectivos ataques dirigidos contra varios objetivos de su interés y eso es algo a tener muy en cuenta.

Esperamos que la Junta de Andalucía se haya puesto manos a la obra y esté realizando las debidas investigaciones para cerrar los posibles agujeros de seguridad aprovechados por los atacantes y, de paso, averiguar quién podría estar detrás de esta campaña de phishing.

Josep Albors