Phishing: el estado del fenómeno. Investigación, prevención y combate.

Como se pudo ver en el post anterior, el Phishing es un tipo de ataque y/o maniobra por medios informáticos que consiste básicamente en engañar a la víctima para robarle información (sean sus datos de usuario y contraseña de una cuenta, sean los datos de sus tarjeta de crédito, sean datos personales que luego se usarán para asumir su identidad, etc.). Hay una definición muy buena y completa de Phishing aquí.

Muchas veces se intenta que la víctima crea que está accediendo a un lugar o sitio en el que confía, cuando en realidad accede a otro distinto muy similar para que ingrese los datos que el ejecutor de la maniobra desea obtener, lo que en términos del ordenamiento jurídico en argentina podría ser una tentativa de estafa.

Un caso típico, lamentablemente muy visto en la actividad profesional de ciber investigación criminal, es el del intento de desbloqueo de los teléfonos de Apple (iPhone) una vez robados o hurtados. La secuencia es así:

Primero se produce el robo o el hurto del dispositivo.

Inmediatamente -o lo más rápidamente posible para el ejecutor- se le envía algún tipo de mensaje a la víctima según el dato del que se disponga. Por ejemplo: SMS, WhatsApp, o correo electrónico.

A continuación se muestra como se ven, y que parecido con los originales tienen, los correos electrónicos fraudulentos:

Captura de pantalla 2018-07-08 a la(s) 16.36.33

Así se ve el cuerpo de un correo electrónico fraudulento que intenta hacerse pasar por el sistema de rastreo y gestión remota de Apple

Como puede verse, sería muy fácil para alguien que sufrió el robo de su dispositivo caer en la trampa. Esta maniobra permitiría obtener las credenciales de la cuenta de iCloud del usuario (cuando este las ingresa en la página apócrifa a la que lo lleva el mensaje recibido) y luego de esto des-asociar el dispositivo de la cuenta de Apple y desbloquearlo para su uso. A continuación se inserta un ejemplo de como se ven estas páginas falsas, a las cuales se llegaría si el usuario hiciera clic en el botón que reza “Ver ubicación” en el correo fraudulento.

Captura de pantalla 2018-07-08 a la(s) 16.52.38.png

Como “bonus”, el delincuente obtiene acceso a toda la información almacenada en la nube de la víctima, incluyendo datos personales, imágenes, videos, contactos, documentos sincronizados, etc. Lo cual puede dar paso a algún tipo de extorsión, a la divulgación pública de información no autorizada, o contribuir al robo de identidad del legítimo usuario de la cuenta, etc. 

Nuevamente, el Phishing no es un tema menor. En este caso, por ejemplo, que es solo uno de los tantos tipos de Phishing conocidos, la maniobra permite tomar control de un dispositivo robado/hurtado para su posterior comercialización sin problemas de bloqueos o restricciones, pero además abre la puerta a otros tipos de delito siendo casi inmediatamente consumado el de acceso ilegítimo.

Ahora bien, en este otro evento del mismo caso nos encontramos con un mensaje vía WhatsApp recibido por la víctima. El mismo se ve así:

image 3

Así se ve el mensaje de WhatsApp recibido por la víctima.

En el URL al que se insta a ingresar, se encuentra nada menos que una página falsa muy parecida a la original del servicio Apple iCloud como se mostró más arriba. 

Sí bien este fenómeno ya lo había descripto anteriormente, quiero llamar la atención sobre el dominio que se ve tanto en el URL del mensaje recibido por la víctima como en la barra de direcciones del navegador a la cual dirigió el botón del correo recibido:

http://lcloud.alert-lost.ml/

Este domino es muy similar al legítimo que dentro de un URL se ve así:

https://www.icloud.com/

Y como puede verse debajo, en una captura de pantalla de la página legítima del servicio de Apple iCloud, efectivamente la página apócrifa es muy similar.

Captura de pantalla 2018-07-08 a la(s) 17.01.52

Página legítima del servicio iCloud de Apple (comparándola con la de arriba, son casi iguales)

Ahora bien, el dominio se encuentra registrado y otorgado. Se encuentra activo, y mostrando contenido fraudulento. Y, si bien la solución de seguridad antivirus instalada en el equipo donde se hizo la verificación detectó que se trataba de un dominio malicioso, los navegadores no alertaron del peligro. Esto es porque esta información estaba en poder del software de seguridad, pero no en las bases de datos de los navegadores. Una parte conocía el peligro, las otras no.

Captura de pantalla 2018-07-08 a la(s) 16.52.21

Así se ve el alerta de seguridad del software antivirus que avisó del peligro antes de ingresar en la página con el URL en cuestión.

Por el tipo de contenido que se muestra en esta página web, ahora podemos decir que se estaría incurriendo en el ilícito previsto en el Art 31 de la Ley 22362 del ordenamiento jurídico argentino sobre marcas y designaciones, lo que hay que agregar a la lista de delitos y derechos vulnerados a los que da lugar el Phishing.

Hasta aquí la situación no es la mejor. El dominio, repito, fue registrado correctamente y se encuentra activo actualmente mostrando éste contenido y sirviendo a éstos fines. 

Pero avancemos un poco más en este mismo caso que sirve de ejemplo a muchas maniobras parecidas. En un tercer momento, como nuevo intento de acceder a la información de la cuenta de iCloud asociada, se le envió a la víctima otro mensaje. En este caso un SMS (ya vamos tres intentos por medios diferentes: mail, WhatsApp, y éste), que dice provenir de Apple. Informa que se ha encontrado el teléfono, e insta a ingresar en un URL para ver su ubicación. Esto sucedió incluso varios días después de que se hubo radicado la denuncia por el hurto del equipo. El URL del SMS se ve así:

https://icloud-foundserver.com/33288

Nótese nuevamente que se trata de un dominio similar al original. En este caso incluye directamente el término “icloud” -tal como se denomina al servicio prestado por Apple-  a lo que luego se le agregan los términos “-foundserver.com“. Nótese también que se trata de un dominio .com a diferencia del anterior que era .ml, y que el URL incluye un protocolo seguro (HTTPS) cuando el anterior enviado por WhatsApp no lo hacía (usaba HTTP). Estas son todas cuestiones importantes a tener en cuenta sobre las que me adentraré luego y en otros post. Y lo son porque son parte, en mi opinión, de lo que hace tan difícil evitar este tipo de maniobras.

Así se ve este nuevo URL al ser colocado en un navegador:

Captura de pantalla 2018-07-18 a la(s) 21.32.07

Así se ve el URL https://icloud-foundserver.com/33288 al momento de la verificación realizada para este artículo.

Es importante además, mencionar que en este caso la solución antivirus y de seguridad (la misma usada anteriormente) no advirtió que se trataba de un riesgo. Y aunque el navegador Safari ingresó directamente al sitio, los navegadores Mozilla Firefox y Google Chrome advirtieron que se trataba de un sitio fraudulento con las ya conocidas pantallas rojas. Nuevamente, aún cuando algunos saben del riego, claramente no todos y por lo tanto el sitio mantiene su peligrosidad para un gran porcentaje de los internautas que puedan acceder a el.

Así se ve una pantalla de aviso del navegador Firefox al intentar ingresar en el URL

Captura de pantalla 2018-07-18 a la(s) 21.33.00

Por último, vemos que el sitio en cuestión tiene un certificado de seguridad válido. Lo que hace que resulte aún más parecido al original y por lo tanto más peligroso o con mayor probabilidad de engañar al visitante.

Captura de pantalla 2018-07-18 a la(s) 21.32.43

El certificado digital que permite usar el protocolo de seguridad HTTPS en este sitio fue generado, probablemente de forma gratuita, por el sitio https://letsencrypt.org/.

Captura de pantalla 2018-07-19 a la(s) 10.08.06

Esta es una captura de pantalla del sitio que ha emitido el certificado para habilitar HTTPS en el sitio fraudulento.

¿Cómo abordar el problema del Phishing?

Sin dudas hay que hacer un análisis profundo y tomar varias medidas tendientes a prevenir y/o combatir el fenómeno.

Lo primero sobre lo que quiero hacer hincapié es sobre los dominios y los responsables de su otorgamiento. Dado el estado de cosas actual, cualquiera puede registrar el dominio cocacolas.com (véase que agregué una s al final). Del mismo modo, cualquiera puede registrar el dominio “Mcdonaldss.com” (nuevamente agregué una s). Esto no solo es perfectamente legítimo, sino que es legal en todas las jurisdicciones que conozco.

Ahora bien, claramente hay una similitud entre estos dominios y marcas muy conocidas mundialmente. Aunque es legítimo registrar un dominio parecido a otro, no lo es para hacerse pasar por una de estas marcas.

Como mostré más arriba, este caso de phishing -como tantos otros- se apoyan en un dominio parecido al dominio legítimo y tratan de hacerse pasar por él y engañar a las víctimas (lo cual sería, nuevamente, delito. En este caso estafa).

Aquí se abren dos líneas de trabajo a evaluar, ambas en constante discusión: por un lado mejorar el control sobre el otorgamiento, y la vigencia del mismo, en lo que respecta a los dominios de Internet. En el caso desarrollado arriba, se trata de un gTLD (Generic top-level domain, en este caso un “.com“) y de un ccTLD (country code top-level domain, en este caso un “.ml“). Y este mayor control debe hacerse sin afectar las libertades a las que Internet debería contribuir a consolidar. Y, por otro lado, debemos coordinar los mecanismos entre jurisdicciones (en general hablamos de cooperación internacional) de información y comunicación que nos permita, rápidamente y de forma flexible, poder dar de baja los dominios utilizados para fines ilegales haciendo cesar así el peligro que ellos implican. Nuevamente, el desafío es equilibrar estos mecanismos con la protección de los legítimos derechos de quienes estén usando los dominios sospechados de uso ilegal.

Para llevar adelante estas cuestiones existen varias opciones. Desde mi perspectiva, los gTLD como los ccTLD y todos los intermediarios que realizan el trámite de registración de dominios deberían tomar un papel activo en este monitoreo. Una opción que me resulta muy razonable sería el equivalente a lo que se conoce como Reporte de Operación Sospechosa  (ROS), para los casos de no poder demostrar claramente el origen de fondos, en el marco del combate al lavado de dinero. Lo mismo se podría hacer por diferentes medios técnicos y con los adecuados fundamentos al momento de registrar un dominio -ampliaré sobre esto en un futuro post-. Se trataría entonces de realizar un Reporte de Dominio Sospechoso (RDS) al momento de realizar el registro del mismo.

Los Reportes de Dominio Sospechoso, a su vez, alimentarían de forma positiva otra de las actividades que  deberían llevarse adelante con mayor eficacia en esta campaña de combatir y prevenir el Phishing: el ciber-patrullaje. Está claro en el campo de la seguridad urbana, la seguridad ciudadana, etc., que entre patrullar al azar y responder al alerta de actividad sospechosa, es preferible la segunda dado que hay mayor probabilidad de éxito en el marco de la prevención y el combate al delito. En este sentido, aprovechando las tecnologías mas nuevas, se han generado infinidad de campañas y mecanismo de aviso rápido a las fuerzas de seguridad por parte de las instituciones e incluso de los ciudadanos. Siguiendo el mismo criterio en el espacio virtual, la misma función debería tener el RDS alimentando el circuito de ciber-patrullaje e incluso la ciber-investigación criminal, para lo que en la actualidad existen varias herramientas que podrían ser usadas en términos de mayor efectividad. Y por último, la necesidad de compartir información de este tipo entre las diferentes bases de datos, por ejemplo entre las soluciones de seguridad de software y las bases de datos de los navegadores, a fin de que todas las partes estén enteradas rápidamente al momento de detectarse un sitio fraudulento.

Finalmente, resultaría importante revisar la legislaciones actuales a fin de penar estas actividades previas a la ejecución del delito, por ejemplo de estafa, que se ven con toda claridad en el Phishing. Esta manera de engañar, y mediante ese engaño obtener información clave (credenciales de usuario) para la comisión de otros ilícitos o la vulneración de derechos. Efectivamente, ya existen proyectos de reformas en este sentido.

Son varios los derechos que vulnera el Phishing y los delitos que implica más todos aquellos derechos a los que puede contribuir a dañar como por ejemplo, en el caso de robo de identidad, robo de credenciales de acceso a cuentas bancarias, la extorsión al dueño de los datos de la cuenta vulnerada, la divulgación -y el daño asociado- de documentos, fotos, audio, video, registros de llamadas, etc. etc. etc.

El Phishing es un fenómeno muy extendido y que por estos lugares del mundo parece afectarnos muy particularmente. Sin ir más lejos, según la compañía de seguridad Kaspersky, el segundo país en el mundo que más phishing ha mostrado en el primer trimestre del 2018, según sus fuentes, es Argentina, siguiendo a Brasil que tiene la primera posición. Así lo muestra en imágenes el informe:

Captura de pantalla 2018-07-08 a la(s) 23.26.09

Fuente: https://securelist.lat/spam-and-phishing-in-q1-2018/86992/

Dejo el link al estudio, que es muy interesante, acá. Seguiremos abordando en ciberdelito.com el tema desde lo tecnológico, lo legal, y la actualidad de este fenómeno que representa una verdadera amenaza para la sociedad de la información en que vivimos. Por lo pronto, próximamente explicaremos mejor la propuesta del RDS, las herramientas de ciber-patrullaje que pueden usarse, y el caso de los acuerdos que hay que alcanzar para mejorar la seguridad en la red -desde nuestra óptica- y la necesidad de amplia cooperación internacional para hacer una Internet -y un mundo- mas justa y segura.

 

Phishing “impersonando metro.cl”

De qué se trata este caso

Se trata de un probable caso de phishing (engaño utilizando correo electrónico o algún sistema de mensajería) que intenta robar las credenciales de un usuario animándolo a, en este caso, actualizar el servicio de “Microsoft Outlook Web”.

Así se ve el correo:

Imagen del correo electrónico fraudulento.

Imagen del correo electrónico fraudulento.

El correo, según puede verse en su encabezado habría sido enviado utilizando servidores de Metro S.A.:

Received: from server.metro.cl (200.73.13.132) by EDGE1.mpf.gov.ar
(10.40.1.246) with Microsoft SMTP Server (TLS) id 14.3.352.0; Fri, 16 Mar
2018 13:51:45 -0300
Received: from pps.filterd (proof2.metrodom.cl [127.0.0.1]) by
proof2.metrodom.cl (8.16.0.22/8.16.0.22) with SMTP id w2GG6jPV010018; Fri, 16
Mar 2018 13:51:25 -0300
Received: from mail.metro.cl ([172.16.20.121]) by proof2.metrodom.cl with
ESMTP id 2gr5fsrvjq-1 (version=TLSv1 cipher=AES128-SHA bits=128 verify=NOT);
Fri, 16 Mar 2018 13:51:24 -0300
Received: from PR-EXCHDB02.metrodom.cl ([fe80::1d4f:2aa8:fbf2:44af]) by
PR-CAS03.metrodom.cl ([::1]) with mapi id 14.03.0123.003; Fri, 16 Mar 2018
12:50:39 -0400
From: Augusto Salcedo <ASalcedo@metro.cl>
Subject: =?iso-8859-1?Q?Aplicaci=F3n_web_de_Outlook?=
Thread-Topic: =?iso-8859-1?Q?Aplicaci=F3n_web_de_Outlook?=
Thread-Index: AdO9RumXMH2ob4wuS6eAzXHsDcZTRw==
Date: Fri, 16 Mar 2018 13:52:03 -0300
Message-ID:
<74E6F65E41139C46B72586BBB27D61756569E4FF@PR-EXCHDB02.metrodom.cl>

El correo en cuestión contiene un enlace o link que envía al usuario a una página que actualmente no se encuentra disponible, en un servicio (donde nos falta aún definir quién presta qué servicio y como lo llamamos, nada menosque permite la creación de páginas web de forma gratuita (https://www.weebly.com) como puede verse a continuación:

https://sistemaadministrativo.weebly.com/&#8221; target=3D”_blank” =
style=3D”color: rgb(17, 85, 204);”>Haga clic para activar

<div style=3D”color: rgb(34, 34, 34); font-family: arial, sans-serif; font-=
size: small;”>

El asunto es que efectivamente, esta página solicitaba al usuario sus credenciales de acceso a la cuenta (Usuario y Contraseña) con lo cual, quien haya llenado el formulario de buena fe, ha perdido control exclusivo sobre su cuenta.

Así se veía la misma al momento de estar en línea.

Imagen del sitio de phishing

Así se veía el servidor al que llevaba el link fraudulento.

Potenciales daños extras de este tipo de Phishing:

Dado que en la actualidad manejamos una gran cantidad de servicios que requieren que nos identifiquemos con un usuario y contraseña, podemos terminar usando la misma contraseña (y hasta el mismo usuario) en dos o más de ellos. Esto es un problema, porque si alguien conoce nuestras credenciales de un servicio puede comenzar a probar en varios como Twitter, Facebook, Bancos, Correos, etc. etc. etc., intentando acceder a otras cuentas con esas credenciales.

Este es un caso de un ejemplo bastante básico y burdo, en el que es “fácil” sospechar del correo tanto como de la página del servidor fraudulento. Existen muchos otros casos en los que es ciertamente más difícil reconocer que se trata de un correo falso. Incluso muchos de ellos apelan a generarnos cierto apuro y hasta desesperación, simulando, por ejemplo, ser de un servicio legítimo que nos avisa que ha habido un ingreso no autorizado a nuestra cuenta.

El Phishing, como vector de ataque, es en muchos casos la puerta de entrada o el primer paso al acceso ilegítimo, violación de secreto, el daño informático, el robo, la extorsión, etc. etc. etc. Por eso, resulta un fenómeno tan interesante para investigar y estar atentos. Es fundamental en este caso, el trabajo de prevención y el ciber-patrullaje. Por todo lo expuesto, ahondaremos sobre el tema phishing en futuras publicaciones.

Sin ninguna duda, existen numerosas iniciativas que podrían aplicarse desde los organismos del Estado, Ya sea de los referentes a seguridad, a tecnología o simplemente a la resignación. Por eso, habrá nuevos post sobre este tema abordando al menos algunos de ellos.

Pablo H. Gris Muniagurria.