Uncategorized

Phishing «impersonando metro.cl»

De qué se trata este caso

Se trata de un probable caso de phishing (engaño utilizando correo electrónico o algún sistema de mensajería) que intenta robar las credenciales de un usuario animándolo a, en este caso, actualizar el servicio de «Microsoft Outlook Web».

Así se ve el correo:

Imagen del correo electrónico fraudulento.
Imagen del correo electrónico fraudulento.

El correo, según puede verse en su encabezado habría sido enviado utilizando servidores de Metro S.A.:

Received: from server.metro.cl (200.73.13.132) by EDGE1.mpf.gov.ar
(10.40.1.246) with Microsoft SMTP Server (TLS) id 14.3.352.0; Fri, 16 Mar
2018 13:51:45 -0300
Received: from pps.filterd (proof2.metrodom.cl [127.0.0.1]) by
proof2.metrodom.cl (8.16.0.22/8.16.0.22) with SMTP id w2GG6jPV010018; Fri, 16
Mar 2018 13:51:25 -0300
Received: from mail.metro.cl ([172.16.20.121]) by proof2.metrodom.cl with
ESMTP id 2gr5fsrvjq-1 (version=TLSv1 cipher=AES128-SHA bits=128 verify=NOT);
Fri, 16 Mar 2018 13:51:24 -0300
Received: from PR-EXCHDB02.metrodom.cl ([fe80::1d4f:2aa8:fbf2:44af]) by
PR-CAS03.metrodom.cl ([::1]) with mapi id 14.03.0123.003; Fri, 16 Mar 2018
12:50:39 -0400
From: Augusto Salcedo <[email protected]>
Subject: =?iso-8859-1?Q?Aplicaci=F3n_web_de_Outlook?=
Thread-Topic: =?iso-8859-1?Q?Aplicaci=F3n_web_de_Outlook?=
Thread-Index: AdO9RumXMH2ob4wuS6eAzXHsDcZTRw==
Date: Fri, 16 Mar 2018 13:52:03 -0300
Message-ID:
<[email protected]>

El correo en cuestión contiene un enlace o link que envía al usuario a una página que actualmente no se encuentra disponible, en un servicio (donde nos falta aún definir quién presta qué servicio y como lo llamamos, nada menosque permite la creación de páginas web de forma gratuita (https://www.weebly.com) como puede verse a continuación:

<div style=3D»color: rgb(34, 34, 34); font-family: arial, sans-serif; font-=
size: small;»>

El asunto es que efectivamente, esta página solicitaba al usuario sus credenciales de acceso a la cuenta (Usuario y Contraseña) con lo cual, quien haya llenado el formulario de buena fe, ha perdido control exclusivo sobre su cuenta.

Así se veía la misma al momento de estar en línea.

Imagen del sitio de phishing
Así se veía el servidor al que llevaba el link fraudulento.

Potenciales daños extras de este tipo de Phishing:

Dado que en la actualidad manejamos una gran cantidad de servicios que requieren que nos identifiquemos con un usuario y contraseña, podemos terminar usando la misma contraseña (y hasta el mismo usuario) en dos o más de ellos. Esto es un problema, porque si alguien conoce nuestras credenciales de un servicio puede comenzar a probar en varios como Twitter, Facebook, Bancos, Correos, etc. etc. etc., intentando acceder a otras cuentas con esas credenciales.

Este es un caso de un ejemplo bastante básico y burdo, en el que es «fácil» sospechar del correo tanto como de la página del servidor fraudulento. Existen muchos otros casos en los que es ciertamente más difícil reconocer que se trata de un correo falso. Incluso muchos de ellos apelan a generarnos cierto apuro y hasta desesperación, simulando, por ejemplo, ser de un servicio legítimo que nos avisa que ha habido un ingreso no autorizado a nuestra cuenta.

El Phishing, como vector de ataque, es en muchos casos la puerta de entrada o el primer paso al acceso ilegítimo, violación de secreto, el daño informático, el robo, la extorsión, etc. etc. etc. Por eso, resulta un fenómeno tan interesante para investigar y estar atentos. Es fundamental en este caso, el trabajo de prevención y el ciber-patrullaje. Por todo lo expuesto, ahondaremos sobre el tema phishing en futuras publicaciones.

Sin ninguna duda, existen numerosas iniciativas que podrían aplicarse desde los organismos del Estado, Ya sea de los referentes a seguridad, a tecnología o simplemente a la resignación. Por eso, habrá nuevos post sobre este tema abordando al menos algunos de ellos.

Pablo H. Gris Muniagurria.