ISDC: De como se lo montan los phishers

Revisando el correo, me encuentro con uno de esos que tan acostumbrados estamos a ver, esos que nos avisan de un nuevo mensaje, o que tenemos un problema en el servicio X y tenemos que solucionarlo, pero no sabemos de que hablan a priori. Pues bien, ese, es el primer paso de un delicado camino, en el cual los ciberestafadores, se las ingenian para engañar a los usuarios de Internet más nóveles.

Tengo algo de tiempo, asi que veamos de que trata esto, como ya he dicho alguna vez, un buen administrador de sistemas tiene que saber como funcionan realmente las cosas, veamos:

Examinemos de una manera detallada el correo.


Primero, observamos que el enlace apunta a un sitio web un tanto peculiar. Algo desconcertante tratándose de algo oficial y no coincidiendo el dominio del correo con la url a la que nos quieren llevar.

Entremos en materia.
Nos descargamos ese enlace manualmente para ver que es lo que contiene:

ubuntu@ubuntu:~/phishing$ wget http://transchryver.net/manual/redirect.html
--16:16:03-- http://transchryver.net/manual/redirect.html
=> `redirect.html'
Resolving transchryver.net... 200.63.222.16
Connecting to transchryver.net|200.63.222.16|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 107 [text/html]

Ya lo tenemos, veamos entonces ahora:

ubuntu@ubuntu:~/phishing$ ls
redirect.html
ubuntu@ubuntu:~/phishing$ more redirect.html

</HTML>
<HEAD><meta http-equiv="Refresh" content="0;
URL=http://grante.org/login/"> </HEAD>
</HTML>

Mmmh, vaya, tenemos una redireccion inmediata a grante.org/login.
Ya que estamos aqui, un consejo, no utiliceis la tecnica refresh para redirigir. Usa estandares.

Vaya, es una pagina de un banco americano, tanto para esto, espera un momento, algo me huele mal, veamos el remitente del correo que estamos analizando, es office@granite.org, veamos esa pagina web. Confirmamos sospechas, granite.org es identica a grante.org. Pero como vemos en la imagen, firefox tambien nos avisa de ello gracias a la protección antiphising.


Aquí, con firefox, podemos reportar páginas de este tipo sospechosas de phising, a través de "Ayuda" -> "Informar de falsificación web".

NOTA: Actualmente, el sitio reportado está deshabilitado como podreis comprobar. Cuando realice estas pruebas, funcionaba perfectamente.


Resumimos secuencia y veamos que técnicas se han utilizado en este ataque mini-ataque phising:

1. Nos intentan engañar de alguna manera para realizar una accion determinada, en este caso hacer click en un enlace. Podriamos denominarlo Ingeniería social.

2. Se aprovechan de vulnerabilidades o debilidades de clientes de correo. En este caso, nos presentan un enlace que apunta a un sitio web malicioso. Esta vez era fácil, ya que simplente situando el puntero sobre el enlace comprobabamos a donde nos redirigiria.

3. La similitud del nombre de dominio confundiria a una gran parte de la gente. Una tecnica denominada cybersquatting.

ISDC: Ingeniería Social + Debilidad + Cybersquatting.

Como sé que todos los que leeis este blog lo haceis con firefox, cuando os encontreis con un correo de este tipo, reportad la página a la cual os llevan como fraudulenta, aportarás tu pequeño granito de arena en la gran lucha contra el phising.