Ataque dirigido a empresa y usuario para robarle el dinero: Spear Phishing contra tu dominio principal

Estimados amigos de Protegerse,

En el episodio del blog de hoy vamos a hablar de algo que se ha comentado por aquí en muchas ocasiones, el Spear Phishing. El resumen del phishing es el típico e-mail de publicidad falsa, aparentemente de una compañía de prestigio, que pretende aprovecharse de su reputación para realizar actividades maliciosas, generalmente, links de descarga de malware.

El Spear phishing es el mismo concepto pero personalizado hacia el destinatario. Por ejemplo, recibir un e-mail falso de tu banco, pero que en el texto del e-mail especifique tu nombre y apellidos, lo que hace que el ataque sea personalizado hacia ti, aprovechando tu confianza por la aparente personalización.

Hoy vamos a analizar un caso real de uno de nuestros amigos para que comprendáis como actúan los malhechores, y las consecuencias reales de esta actividad.

En primer lugar vamos a empezar por el final :-). Imagina que eres víctima de un ataque informático mediante phishing. Accedes a una web fraudulenta. Con suerte el antivirus detectará el malware. Si no tienes suerte y te infectas ( aquí es donde tienes que llamarnos 🙂 ) seguramente tu ordenador se vuelva más lento. Seguramente, producto de esa infección, estés realizando actividades maliciosas en la red sin darte cuenta. Seguramente, algún día, el informático de turno te eche un pequeño puro por haber metido un virus al PC de la empresa, pero ese día no es trágico, vuelves a casa y todo bien.

¿Qué pasa si al pinchar ese click, o al fiarte de ese correo, tu empresa pierde 40.000€ en un instante? La vuelta a casa no va a ser igual.

El asunto de nuestro amigo comenzó con el robo de una cuenta de correo. Un usuario tenía una contraseña débil y alguien ¨pasó por allí» y robo la cuenta. El atacante se percató que esa cuenta tenía correos con facturas de clientes y proveedores de una empresa. Hasta aquí muy bien si eres un voyeur, pero el daño es revelación de secretos, no dinero.

Imagina que llega a tu empresa un correo de un proveedor tuyo de toda la vida, de los que tienes confianza, de los de trabajo diario, vamos a llamarlo TUEMPRESA.COM. A lo largo de los días este proveedor te envía facturas de servicios o productos, y el departamento de finanzas o pagos realiza las transferencias con toda normalidad. Este proveedor no es del pueblo, ni de la ciudad, ni del país, hoy en día tener proveedores internacionales es de lo más habitual, ¡hasta para comprar el papel de impresora!.

El atacante que encontró la cuenta de correo piensa, ¿y si me hago pasar por TUEMPRESA.COM, te envió una de las facturas que tengo del correo que he robado, y te digo que cambies el número de cuenta a mi banco maloso ubicado en una isla malosa a la que la policía no puede acceder?

Vuelvo a preguntártelo, ¿Tu administrativ@ o tus procesos internos serían capaces de detectar el intento de estafa? Recuerda que llevas 10 años trabajando con esta empresa y nunca ha pasado nada, en los cientos y cientos de pagos que has hecho.

Hasta este momento pensarás, pero me tiene que llegar ese correo reclamándome el cambio desde alguna dirección de correo de TUEMPRESA.COM. Si me llega un cambio así desde un Hotmail o Gmail no le voy a hacer caso. BIEN, vamos por el buen camino.

El atacante tenía facturas y direcciones de proveedores, nombres, correo de la persona en tu empresa que realiza los pagos. Le faltaba el correo.

Crear un dominio en Internet cuesta dinero. Si tu quieres crearte una web www.pepitodelospalotes.com tienes que pagar por ese dominio. El coste es mínimo, digamos que de media unos 10 €, pero para un atacante que quiere robarte puede que sea caro, por estar en otro país. O simplemente que si realiza el intento de robo a 1.000 personas al día, el coste de crear un dominio se dispara.

Una de las formas que están usando los cibercriminales es el servicio VISTAPRINT. Esta empresa es conocida por sus trabajos de impresión, las típicas tarjetas de visita y productos de marketing. Seguramente al estilo de la tienda de Amazon, en algún momento hicieron una inversión fuerte en tecnología, servidores, hardware, y se meten de lleno en el negocio del alojamiento web. Por una pequeña cantidad te ofrecen albergar tu web en sus servidores. ¿Cuál es el problema con VISTAPRINT? Que ofrecen un mes gratuito de alojamiento y dominio en 1 minuto. El atacante puede registrarse para un dominio nuevo, correo y web, por CERO EUROS. El único proceso es registrarse e introducir un número de cuenta válido, no que tenga dinero, sino que sea real. No es el objetivo de hoy pero hay CIENTOS de sitios de Carding en el que se ofrecen números de cuenta en foros de tarjetas de crédito.

No es posible registrar un dominio que ya existe. Para esta prueba hemos llamado a la empresa tuempresa.com por lo que el dominio falsificado será tuempresaa.com. Vamos a hacer un pequeño ejercicio visual.

¿Has podido leer el texto? ¿Podrías identificar que un correo de tuempresaa.com no es de tuempresa.com? ¿Y si el nombre de la empresa es más complejo, por ejemplo de Noruega, Aker Kvaerner asa?

El atacante ya tiene su dominio parecido, una factura, un correo y persona de contacto. Vamos a ver como pinta esto.

El logotipo de ese gran establecimiento de comida, ilusiones y colesterol es simplemente por mi afición a él, y para poneros un poco en situación, el correo que os puede llegar es exactamente igual que el que recibís constantemente en vuestro trabajo diario. Recuerda que el atacante ha visto todos los correos que el usuario intercambia. Vamos a verlo en un móvil.

Como se puede comprobar en las imágenes, es muy posible, muy muy posible que el intento de Spear Phishing llegue a buen puerto, y la persona que lo sufre acabe autorizando ese cambio de cuenta y se produzca la estafa.

El asunto de VistaPrint y el mal uso de su campaña un mes gratis está causando mucho ruido en el mundo del cibercrimen y se ha avisado a la propia compañía de lo peligroso de sus acciones. En este mundo las cosas van muy rápido, y los cibercriminales aprovechan todo tipo de artimañas para conseguir gratuitamente sus recursos.

Existe una http://vistaprinta.tk/#blockall que proporciona seguridad a sus visitantes. Todos los días recopila los dominios creados en VistaPrint y sus direcciones IP. Si crees que es una buena medida de seguridad, puedes bloquear el tráfico desde/hacia estos dominios/direcciones ip para proteger a tus usuarios. Esta medida no es definitiva, porque hoy es VistaPrint, mañana es un hosting comprometido en Francia, y pasado mañana un servidor de correo mal configurado en Sevilla, pero vamos dando pasos. Por supuesto, contar con una solución antispam perimetral para el correo, y una buena solución endpoint para el equipo cliente es la opción más extendida.

Como parte del Incident Response o respuesta a incidentes se notifica el mal uso del dominio a Vistaprint para que empleen medidas legales, y para que nos faciliten las direcciones ip de los equipos que registraron el dominio. ¿Entrega la empresa esta información? NO. ¿Podría hacer algo con la dirección IP del registrador? NO, seguramente usará servicios de anonimato como I2P o la red TOR.

Para avanzar un poco más sobre este asunto del dominio parecido empleamos la herramienta DNSTWISTS. Mediante la ejecución de este sencillo script python podemos introducir un dominio y generar variaciones del nombre y comprobar su existencia. También podemos realizar un whois para mostrar la fecha de registro como dato complementario. De esta manera podemos detectar otros dominios maliciosos creados en una fecha similar, y actuar pro activamente introduciendo en nuestra blacklist de correo, o realizando el proceso de Incident Response comentado con anterioridad. Vamos a poner algún ejemplo de la herramienta.

Como se puede apreciar, sospecho que la cadena de supermercados ha sufrido o sufre intentos de phishing a diestro y siniestro 🙂

Espero que os haya gustado el pequeña disección del mundillo del phishing y de cómo este puede pasar las fronteras de «la informática» al fraude.

Nos leemos en otra aventura en el mundo del cibercrimen.