martes, 27 de octubre de 2020

Phishing súper ingenioso a través de Google Docs

Phishing súper ingenioso a través de Google Docs


Introducción

Días antes de la fecha de publicación de este post, un compañero de trabajo me reenvió una trampa de Phishing, destacando la ingeniosa modalidad utilizada por el delincuente, la cual merece el análisis que se muestra a continuación.

Autopsia del sencillo e ingenioso ataque

Los pasos que siguió el ciberdelincuente fueron los siguientes:

1) Crear una cuenta de Google. No es importante la dirección en sí. Lo importante es utilizar el nombre y apellido de la persona que se desea suplantar, por ejemplo el CEO de una organización. También se puede colocar luego una foto de perfil de la persona, la cual se puede conseguir en cualquier red social sin mayores problemas.


2) Crear un documento de Google Docs y dejar allí el texto del engaño de Phishing.

3) Dejar un comentario en el documento arrobando a la víctima.


4) Esperar que la víctima ingrese al enlace malicioso proporcionado.

¡Así de fácil!

Nota: El enlace malicioso puede formar parte del documento o del comentario.

Delivery garantizado en bandeja de entrada

La víctima, recibirá un correo con el comentario de Google Docs, de manera similar a la siguiente captura:


Este correo, es altamente probable que ingrese directamente a la bandeja de entrada del usuario. Está enviado desde los servidores de Google, firmado por Google, con todas las medidas de seguridad tomadas por Google en perfecto estado :)

Authentication-Results: mx.google.com;

dkim=pass header.i=@docs.google.com header.s=20161025 header.b="O/rA7Zvo";

spf=pass (google.com: domain of ---@docos.bounces.google.com designates 209.85.220.77 as permitted sender) smtp.mailfrom=---@docos.bounces.google.com;

dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=docs.google.com 

Suplantación de identidad nivel Dios

Como podemos ver en la captura anterior, no se muestra en ningún lugar el correo electrónico del remitente, únicamente su nombre, apellido y foto de perfil, totalmente editables en una cuenta de Google.

Además, es posible colocar el asunto que se desee ya que es tomado desde el título del documento.

De hecho, ni siquiera es necesario que la víctima ingrese al documento por ningún motivo, ya que todo el contenido de interés ya se encuentra en el email recibido.

Notificaciones PUSH directo al smartphone

Si la víctima posee la cuenta de correo electrónico de Google configurada en su smartphone, recibirá además el comentario en una notificación PUSH. Este tipo de notificaciones no muestran al usuario un nivel de detalle muy grande, por lo cual aumentan las probabilidades de que el usuario termine ingresando en el documento malicioso al abrir la notificación recibida.

¿Quién detecta esto?

Como podemos imaginar, el dominio de docs.google.com no caerá en listas negras como Google Safe Browsing para que nuestros usuarios puedan estar protegidos.

Lo máximo que ha hecho Google en el caso que me compartió mi compañero ha sido bloquear el ingreso al documento que contenía el engaño:


Pero esto no sirve de mucho, ya que el email sigue estando en bandeja de entrada con el contenido original intacto.

Probablemente, tampoco sea práctico bloquearlo dentro de nuestra organización, y de todas maneras por fuera de la organización los usuarios podrían recibir igualmente el engaño.

Como vimos, todos los registros SPF, DKIM y DMARC se encuentran perfectamente configurados, por lo cual los clientes de correo no lo van a bloquear. Tampoco los sistemas Anti SPAM o similares. Ni hablar del Anti SPAM del propio Google.

En mi opinión, la mejor arma contra este tipo de casos es la concientización. Un usuario concientizado respecto a este tipo de ataques, estará atento y podrá detectarlos, reportarlos y prevenir convertirse en víctima de los ciberdelincuentes.

¿Recibiste un correo con estas características? Reportalo en Antiphishing.la
Leer Más

lunes, 12 de octubre de 2020

Tipos de spoofing, o cómo se esconden los ciberdelincuentes en correos electrónicos

Tipos de spoofing, o cómo se esconden los ciberdelincuentes en correos electrónicos



Al igual que en el correo postal, los correos electrónicos constan de un sobre y un contenido

Sin embargo, los clientes de correo electrónico por lo general muestran sólo la información del contenido, ocultando los datos del sobre en opciones avanzadas.

La información presente en el sobre permite a la empresa de correo postal - o al servidor SMTP - entregar el mensaje al destinatario correcto, sin necesidad de abrir el sobre. Además, permite enviar al remitente notificaciones en caso de que la entrega de un correo no sea posible.

Si bien el cliente de correo considera esta información poco relevante para el usuario final - ya que no la muestra por defecto -, el sobre y el contenido de un correo pueden tener escrito un remitente diferente:


Esto abre la puerta a distintos tipos de suplantación de identidad, o Spoofing. Los ciberdelincuentes juegan con distintas cadenas de texto dentro del FROM Header, para engañar a los destinatarios y lograr sus objetivos fraudulentos. Esto es sumamente sencillo de realizar y está 100% permitido por el protocolo SMTP. Basta con definir la cadena deseada al momento de enviar el mensaje ¡y listo!

Tipos de Spoofing

A la hora de elegir el tipo de Spoofing a realizar, un ciberdelincuente tendrá en cuenta si el dominio a suplantar:
  • Cuenta con protocolos SPF, DKIM y DMARC correctamente configurados.
  • Es vulnerable a un ataque BEC.


Domain Spoofing

Consiste en suplantar el dominio de la organización.

Cuándo se utiliza

Cuando el dominio a suplantar no cuenta con protocolos SPF, DKIM y DMARC correctamente configurados, o cuenta con ellos pero es vulnerable a un ataque BEC.

Ventajas para el ciberdelincuente

Es el tipo de Spoofing más difícil de detectar.

Lookalike Domain Spoofing

Consiste en utilizar un dominio similar al de la organización que se desea suplantar.

Cuándo se utiliza

Cuando el dominio a suplantar cuenta con protocolos SPF, DKIM y DMARC correctamente configurados, o no es vulnerable a un ataque BEC. Sólo es necesario que se cumpla uno de los dos puntos.

Ventajas para el ciberdelincuente


Display Name Spoofing

Es el caso más básico de Spoofing y consiste en modificar únicamente el nombre del remitente, manteniendo su dirección de email original:

Cuándo se utiliza

Cuando el dominio a suplantar cuenta con protocolos SPF, DKIM y DMARC correctamente configurados, o no es vulnerable a un ataque BEC. Sólo es necesario que se cumpla uno de los dos puntos.

Ventajas para el ciberdelincuente

  • Si utiliza un dominio con buena reputación puede mejorar sus chances de llegar a la bandeja de entrada del usuario final.
  • Los usuarios finales sin concientizar caen fácilmente incluso en este tipo de engaños, los más sencillos.

Aprovechando el Reply-to

Si un usuario final responde al correo, su cliente de correo enviará la respuesta al email especificado en el FROM Header.

Esto no es deseable en todos los casos para los ciberdelincuentes. Entonces hacen uso del Reply-to Header. El cliente de correo enviará las respuestas del usuario a la dirección de email que figure allí.

Una combinación viable - de muchas - para un ciberdelincuente podría ser la siguiente:

El usuario, el detector de mentiras

El protocolo SMTP permite, de manera extremadamente sencilla, realizar suplantación de identidad dentro de un correo electrónico. Los mecanismos provistos por SPF, DKIM y DMARC, son claves a la hora de proteger un dominio contra las técnicas de spoofing. Sin embargo, los ciberdelincuentes cuentan con otras herramientas, también de gran sencillez, para concretar sus ataques.

Un usuario correctamente concientizado se convierte en una capa de seguridad indispensable para afrontar aquellos correos de suplantación de identidad que no puedan ser detenidos por medios tecnológicos, los cuales, como analizamos, son posibles, simples de enviar y muy efectivos.

Si un usuario concientizado logra detectar alguno de estos casos de suplantación de identidad, sabrá cómo actuar en consecuencia:

  1. Marcar el correo como Spam
  2. Utilizar el botón específico que use la organización para reportar, desde la propia interfaz del correo electrónico
  3. Reenviar el correo al área de la organización correspondiente para su revisión y tratamiento
  4. Denunciar el caso en sitios como antiphishing.la para mayor visibilidad.

Leer Más