La Comunidad DragonJAR

Los proveedores de correo electrónico vigilan de ajustar sus filtros de SPAM para que los usuarios no sufran oleadas de correos basura con phishings, malware etc…

Yo siempre reviso el SPAM por si acaso viene algún premio que merezca la pena analizar.

En la revisión de correos que estaba realizando me ha llegado un correo de SPAM, se trataba de un phishing. Sabía que era así porque me ofrecían cambiar las claves de una cuenta bancaria de la que yo no tenía cuenta registrada.

Observamos el correo:

Tenía claro de que se trataba de un phishing ya que yo no tengo cuenta en Banamex.

Miramos el enlace donde apunta la palabra Entrar:

http://www.baltiprofiil.ee/boveda.banamex.com.mx/serban/

La parte en negrita es el dominio, para confundir al usuario han usado la palabra banamex en el directorio donde estaría alojado el phishing.

darkmac:malware marc$ curl -I http://www.baltiprofiil.ee/boveda.banamex.com.mx/serban/
HTTP/1.1 404 Komponenti ei leitud
Date: Mon, 20 May 2013 21:38:03 GMT
Server: Apache/2.2.24/DataZone SP (Unix) mod_zfpm/0.2
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Expires: Mon, 1 Jan 2001 00:00:00 GMT
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: fb2e82f3aa5e9e6274ab1d0eb636e5bd=6e5fcf339c991bbe34523d245d2d2a29; path=/
Set-Cookie: lang=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/
Set-Cookie: jfcookie=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/
Set-Cookie: jfcookie[lang]=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/
Last-Modified: Mon, 20 May 2013 21:38:03 GMT
Content-Type: text/html; charset=utf-8

El phishing no está disponible, una lástima, me hubiera gustado analizarlo.

He consultado el dominio en las listas negras y no está, por lo tanto puede que se trate de un dominio comprometido.

http://multirbl.valli.org/lookup/baltiprofiil.ee.html

Una de las cosas que podemos hacer es mirar las cabeceras del correo eso nos aportará mas información.

Received: by 10.60.27.70 with SMTP id r6csp7332oeg;
Sat, 18 May 2013 02:11:56 -0700 (PDT)
X-Received: by 10.15.108.6 with SMTP id cc6mr79602894eeb.28.1368868315363;
Sat, 18 May 2013 02:11:55 -0700 (PDT)
Return-Path: <[email protected]>
Received: from s16071902.onlinehome-server.info (intercampusonline.com. [212.227.89.54])
by mx.google.com with ESMTPS id i3si21728397eev.129.2013.05.18.02.11.54
for <[email protected]>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Sat, 18 May 2013 02:11:55 -0700 (PDT)
Received-SPF: neutral (google.com: 212.227.89.54 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=212.227.89.54;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 212.227.89.54 is neither permitted nor denied by best guess record for domain of <strong>[email protected]</strong>) smtp.mail=[email protected]
Received: by <strong>s16071902.onlinehome-server.info</strong> (Postfix, from userid 502)
id 9E1269FB0; Sat, 18 May 2013 10:18:52 +0200 (CEST)
To: [email protected]
Subject: Verificacion de datos en BancaNet
X-PHP-Originating-Script: 502:index.php
From: Notificaciones<[email protected]>
Reply-To: [email protected]

La dirección de correo estaba spoofeada por lo tanto el destinatario del correo pensará de nuevo que la notificación se la envía el banco. Una de las maneras de revisar esta parte es mirar la cabecera del correo.

Como véis un pequeño análisis nos da información sobre el phishing recibido.

La ingeniería social es una de las puertas de acceso mas utilizadas por los delincuentes, para robar tu información personal o infiltrarse en una empresa. Por este motivo cada pentest que realicemos a una organización, siempre debe incluirse técnicas de ingeniería social, para ver que tan vulnerable es la empresa a este tipo de ataques y tomar las medidas correspondientes.

SET (Social Engineering Toolkit) es un kit de herramientas que nos ayudara en la tarea de realizar ataques de ingeniería social, nos permite suplantar fácilmente la identidad de un sitio determinado, o enviar ataques por mail a las cuentas de correo de la compañía, infectar memorias usb o cds/dvds infectados, todo esto perfectamente integrado con el grandioso Metasploit Framework. Leer más…

Hace un tiempo me entere de la existencia en el mercado de un supuesto servicio de recuperación de contraseñas para Hotmail y Facebook Colombiano, como esto es obviamente sospechoso decidí realizar una prueba para verificar cual era la forma en la que operaban, sabiendo desde el principio que debía tratarse de alguna técnica de ingeniería social o phishing avanzado.

El supuesto “servicio legal” es ofrecido desde el 2007 como su creador lo anuncia en www.clavehotmail.com haciendo alusión a investigaciones de tipo privado que atrapa infieles.

Así pues me decidí a solicitar un nuevo servicio por el que cobran $35.000 (unos 20 USD) y que se paga solo si resulta exitoso el robo de la contraseña de Hotmail o Facebook, para obtener la contraseña utilicé cuentas falsas creadas específicamente para este fin (que estarán censuradas).

Para fines de este articulo en la comunidad dragonjar, el correo del solicitante será [email protected] y el de la víctima [email protected], después de realizada la solicitud envían al correo del solicitante unas instrucciones y un PIN con lo que podrá hacer seguimiento al estado de su solicitud como se muestra a continuación.

Importante ver la seriedad con la que intentan impresionar estos delincuentes, tenemos que decirles que tenemos mucho tiempo para hacerles perder de ser necesario, para nosotros esto no es perder el tiempo, ¡esto es lo que nos apasiona!

Al entrar a verificar el estado de mi solicitud me encuentro con la siguiente plataforma que tiene varias opciones y donde de ser efectivo el robo de la contraseña se mostraran 2 imágenes del buzón de entrada. El que quiera saber más acerca de las opciones con el PIN puede entrar y verificar las opciones disponibles.

8 horas después de realizada la solicitud apareció como por obra de magia en la bandeja de entrada de la victima este correo electrónico.

Revisando el origen del correo enviado nos arroja las siguientes características

Y verificando a donde apunta la dirección IP se obtiene lo siguiente:

Al abrir el correo electrónico debo admitir que esperaba algo mas que un clásico y triste PHISHING, que además de conocido es claramente penalizado por la LEY 1273 DE 2009 sobre delitos informáticos en Colombia (artículos 269F y 269G), por lo que el dueño del servicio aunque no lo crea (debe ser así por la gran cantidad de información que tiene disponible en la red) es un delincuente informático y puede tener de 4 a 7 años de prisión en una cárcel Colombiana, como la modelo de Bogotá.

De hecho en su apartado de “Ayuda y soporte” específicamente en “Preguntas frecuentes” tienen una espacio dentro de estas preguntas dedicado exclusivamente a resolver las “PREGUNTAS ACERCA DE LAS LEYES INFORMÁTICAS”, donde con pobres argumentos sin fundamentos legales intenta convencer a sus clientes que el servicio es “Legal”, cuando cualquiera que pueda leer el Artículo 269F. Violación De Datos Personales y el Artículo 269G. Suplantación De Sitios Web Para Capturar Datos Personales de la LEY 1273 DE 2009 para delitos informáticos en Colombia, puede comprobar que claramente lo que se realiza en ClaveHotmail.com es un delito informático.

Después de no atender la solicitud del correo electrónico fraudulento la probabilidad en la verificación del caso es del 0% como muestra la siguiente imagen.

¿Pero quién está detrás de este caso donde 4.483 personas han creído en que el servicio es legal?

Que incluso a engañado a los periodistas de la revista Aló, donde lo referenciaron en el 2010 y hasta lo publicaron en la versión online de ElTiempo.com

Ahora suponiendo con base en las estadísticas de la web www.clavehotmail.com que indica que el 85% de probabilidad es favorable para conseguir una contraseña, es decir que 3.810 han logrado un password por $35.000, y que realizando una simple operación entrega un gran total de $133’350.000 deja al descubierto el gran negocio que es para un delincuente realizar este tipo de operaciones sobre personas incautas.

Algo que no se puede negar fácilmente debido a la clara relación que tiene la página del phisher con la web fraudulenta.

Convirtiendo a el señor responsable de todo esto DANIEL RINCÓN de TULUÁ VALLE, en un delincuente con 4 años de trayectoria.

Gracias a Google se encontró algo más de información, la cual es importante para identificar al responsable de este delito informático.

Acá aparece la dirección de contacto, el correo electrónico y número de teléfono.

Por último algunas recomendaciones de seguridad tomadas de varios sitios para evitar caer en este tipo de delitos.

• No hagas click a enlaces que vienen en correos electrónicos.
• Para visitar una página introduce la dirección en la barra de direcciones.
• Disminuye la cantidad de correo no deseado que recibes.
• No proporciones información confidencial.
• Nunca envíes información confidencial por correo electrónico.
• Actualizar su sistema operativo, antivirus y firewall.

Por último esperamos que las autoridades correspondientes tomen cartas en el asunto y cuanto antes tomen medidas para evitar que este tipo de sitios sigan operando y sobre todo se tomen las medidas contra las personas que están detrás de esto.

Artículo escrito por Fabian Duke T3zL4 ([email protected]) para La Comunidad DragonJAR

Actualizo esta entrada con un nuevo video que nos muestra la forma de actuar de los delincuentes que realizan el SMiShing ya que los casos reportados en esta temporada navideña han crecido significativamente.

El SMiShing es el término que se le ha dado a un tipo de “Phishing” que se realiza por medio de ingeniería social empleado mensajes de texto dirigidos a los usuarios de Telefonía móvil.

El fraude es muy simple, una delincuente envía un mensaje de texto haciéndole creer al destinatario que ha sido el ganador de una buena suma de dinero o que ha realizado una compra costosa con la tarjeta de crédito (en realidad puede ser cualquier otra historia, pero estas son las más comunes) y le pide que se comunique con un teléfono que le proporciona, para hacer efectivo su premio. Leer más…

Como ya saben, hace poco realice una entrevista para el programa Testigo Directo hablando sobre seguridad informática y el reciente caso de “Sophie Germain”, para ese video (que pensaba era mas largo) me pidieron realizar algunas guías visuales, sobre temas específicos en los que querían profundizar ya que están siendo muy utilizados en Colombia.

El primero de ellos es el Phishing, del que se hablo un poco en el programa y querían tener material extra un poco mas largo:

Les recomiendo visitar el apartado Anti Phishing de nuestra comunidad, donde encontraras herramientas para complementar los consejos expuestos en el video.

Y el segundo eran los ataques de denegación de servicio, ya que están siendo utilizados masivamente como forma de “protesta” en el país y querían saber que tan sencillo seria realizarlos:

Espero que a alguien les sea de utilidad, se que no son gran cosa, pero fue lo que me pidieron y como ya estaban hechos, no quería dejar de utilizarlos.

Los DNS Públicos se están popularizando bastante, primero OpenDNS, luego grandes compañías Google y ahora Symantec quieren sacar una tajada de este mercado ofreciendo su propio servicio de DNS Publico.

Norton DNS es el nuevo servicio de DNS Publico ofrecido por Symantec, cuando algunos pensabamos que este mercado ya estaba saturado, llega Norton DNS a ofrecernos algo “diferente”. Leer más…

INTECO (Instituto Nacional de Tecnologías de la Comunicación), ha creado un documento titulado “Respuesta jurídica frente ataques informáticos”, el cual nos muestra las acciones jurídicas que se pueden llevar a cabo cuando nos ocurren algunos de los incidentes de seguridad mas extendidos en Internet.

Muchas veces se desconoce las leyes que nos protegen frente a este tipo de ataques, por eso esta guía nos enseña de que se trata el Phishing, Pharming, Hacking, Cracking, Malware, como protegernos de esos ataques y acciones legales podemos emprender cuando somos victimas de uno de estos delitos. Leer más…

Actualizado: Acabo de recibir otro fraude al parecer de esta misma persona utilizando la misma técnica (del día Movistar), ya que los nombres de todos los archivos son idénticos, como siempre lo he reportado y les dejo de nuevo las recomendaciones para evitar este tipo de fraudes.

Constantemente me llegan a mi casilla de correo, mensajes suplantando diferentes entidades para obtener mis datos personales y bancarios, estos mensajes llegan diariamente a millones de correos electrónicos y son un tipo de fraude llamado Phishing (¿Que es el Phishing?, si no sabes click aquí) normalmente lo que hago con estos mensajes son reportarlos como spam en mi casilla de correo y denunciarlos en portales especializados como phishtank o WOT, para que queden en las listas negras y no afecten mas usuarios.

He recibido un nuevo phishing en el que se hacen pasar por Movistar Colombia invitando a sus usuarios a recargar su saldo; Anteriormente había reportado este mismo fraude y la pagina donde estaba alojada fue desmantelada, pero caí en cuenta que no importa cuantas paginas reporte y den de baja, si no hay educación en las personas respecto a este tipo de fraudes siempre habrá quien suba nuevas estafas en diferentes servidores. Leer más…