Se impartirán conocimientos de tecnologías y enlace a pg que den información de tendencias tecnológicas, también se informara sobre otros aspectos..
Traemos ahora un nuevo integrante para el blog que es el Hacking, algo que esta evolucionando el mundo después de saber que la guerra se puede hacer ya de forma Cibernética.....
Ehtools Framework (Entynet Hacker Tools) es un conjunto de herramientas de penetración para redes WiFi desarrollado por entynetproject. Se puede usar para todo, desde instalar nuevos complementos hasta hacer contacto WPA en segundos. Ademas, es fácil de instalar, configurar y usar. Como todas las tecnologías, el WiFi también tiene algunos problemas de seguridad, especialmente para las redes publicas WiFi. Cualquier intruso puede atacar nuestros dispositivos accediendo a nuestras redes WiFi (puedes hacer una prueba con Wifiphisher). Entonces, debemos analizar nuestra red inalambrica de vez en cuando para evitar ataques de hackers. Existen muchas herramientas para hacer pruebas de penetración de WiFi, pero la herramienta que discutiremos aquí es un poco diferente a las demás. Sobre Ehtools ¿Que es lo que hace que el marco de trabajo de Ehtools sea diferente de otros? Cuando hacemos pruebas de penetración WiFi, tendemos a usar diferentes herramientas para diferentes tare...
Obtener enlace
Facebook
X
Pinterest
Correo electrónico
Otras aplicaciones
Prevención ante ataques phishing – Parte 1
Obtener enlace
Facebook
X
Pinterest
Correo electrónico
Otras aplicaciones
En este artículo vamos a destapar un ataque phishing real que se encuentra actualmente circulando suplantando la identidad de PayPal. Para ello, vamos a analizar el propio correo y sus cabeceras con el fin de obtener información objetiva y concisa que nos ayude a identificar este tipo de ataques.
En primer lugar, vamos a ver el contenido del correo para ponernos en situación.
Correo recibido identificado como phishing
Lo que más llama la atención a simple vista es que tenemos un archivo adjunto en el correo. Sin embargo, por ahora vamos a dejarlo a un lado y continuaremos con la lectura del correo. En resumen, podemos ver que informan al usuario que su cuenta de PayPal ha sido limitada debido a actividades inusuales. A parte de ello, indican la supuesta hora y fecha en la que se han producido, e indican textualmente que se debe abrir el documento adjunto para recuperar la cuenta. Y la pregunta que podría hacerse el usuario es, ¿Por qué no indicar las instrucciones a seguir en el propio correo? Si al fin y al cabo es texto plano para qué adjuntar un archivo word…
Si nos fijamos en la dirección de correo del remitente, parece ser que el email es enviado por service@ics.paypal.com. Sin embargo, a la derecha del mismo se encuentra contenida entre los caracteres ‘<‘ y ‘>’ una cadena alfanumérica destacable por su longitud, correspondiente a una dirección de correo.
Campo From del correo electrónico identificado como phishing
Con esta evidencia pueden ir saltando todas nuestras alarmas, debido a que el formato normal es el siguiente:
Nombre del remitente <dirección de correo>
Por lo tanto, parece que la persona que ha enviado este mensaje ha querido que en el nombre del emisor aparezca la dirección suplantada service@ics.paypal.com pensando que la dirección original utilizada no iba a aparecer justo al lado…
Si seguimos analizando el correo, resulta curiosa la forma genérica de dirigirse al usuario, debido a que no saluda con el nombre o alias del mismo (aunque ello no se puede considerar un indicio sólido). Sin embargo, indagando en el centro de ayuda oficial de PayPal podemos ver que un correo verídico procedente de PayPal se va a dirigir siempre al usuario a través de su nombre o alias. Ahí tenemos otra pista más…
Comprobación veracidad PayPal
Por otro lado, el asunto del mensaje destaca por su longitud y contenido. A parte de ello, podemos ver que es un reenvío debido a que aparecen los caracteres Fw.
Campo Subject del correo electrónico identificado como phishing
Tal y como podemos observar en la imagen anterior, el mensaje original del asunto(a continuación de Fw) está en una mezcla de alemán y neerlandés y su significado es “Mi declaración – Gracias por la contraseña.” Resulta extraño ese asunto, ¿no?
Para finalizar de analizar el correo, se pueden observar diversas faltas de ortografía, algo que una entidad oficial no cometería (o, por lo menos, no debería).
Análisis de faltas de ortografía en el cuerpo del email identificado como phishing
Tras esta revisión previa, podríamos tener claras sospechas de que se trata de un ataque phishing real. Sin embargo, vamos a proceder a revisar las cabeceras del correo electrónico para continuar destapando evidencias.
La cabecera de un email ayuda a encontrar información oculta a simple vista, como los servidores por los que ha viajado el correo hasta llegar a su destino final, direcciones IPs, protecciones habilitadas (SPF, SKIM, DMARC), información de autenticación, destinatario de reenvío, etc.
Normalmente las cabeceras de los emails se pueden encontrar en las opciones del correo recibido, en concreto en el apartado denominado “Ver detalles del mensaje” para el caso de Outlook, o “Mostrar original” en Gmail.
Ver cabeceras en Gmail
Uno de los principales campos a analizar es el denominado Received. Esta cabecera nos va a indicar todos los servidores por los que ha pasado el mensaje hasta llegar al buzón del usuario final. Al contrario que el resto de cabeceras, esta es la única que no puede ser modificada por un atacante, por lo cual nos va a proporcionar datos verídicos y fiables para nuestro análisis.
Una peculiaridad de esta cabecera es que hay que leerla de abajo hacia arriba. Es decir, el correo va a pasar por una serie de servidores, así que por cada uno de ellos va a aparecer una cabecera Received. Para ubicar el servidor origen (que es el que nos interesa) debemos buscar la cabecera Received que se encuentre más abajo, mostrada a continuación:
Origen del correo electrónico
Una vez recogida esta cabecera procedemos a analizarla. Tal y como podemos observar en la imagen anterior, el identificador del receptor es mustafa-cyber-kucing-6838451, un nombre que no da mucha confianza para pertenecer a una organización oficial. En segundo lugar, aparece el nombre del servidor de correo desde el que se realiza la conexión junto a su IP, siendo estos los datos:
Nombre del host
35.66.211.130.bc.googleusercontent.com
IP
130.211.66.35
Realizando una búsqueda en webs de geolocalización por IP (como por ejemplo cual-es-mi-ip), obtenemos que el ISP (Proveedor de Servicios de Internet) está asociado a Google Cloud, es decir, el servicio está alojado en un hosting de Google. En principio puede resultar extraño que una organización como PayPal no haga uso de un ISP propio o, por lo menos, externo a Google. A continuación, podemos ver los datos obtenidos.
Datos IP Sospechosa por ataques phishing
A través de diversas herramientas se pueden obtener los servidores de correo de una entidad. En este caso se ha hecho uso de dnsenum, aunque se pueden utilizar otras como dnsdumpster, que es online.
Información de servidores PayPal
Una vez obtenidos los servidores de correo, se comprueba el ISP rastreando la IP a través de la herramienta cual-es-mi-ip. De esta forma, podremos corroborar que el nombre de ISP es PayPal, el cual no coincide con el anterior.
Datos IP PayPal
Aunque hasta aquí tenemos evidencias suficientes para catalogar el correo como phishing, vamos a continuar analizando los datos para ir obteniendo más pistas.
Siguiendo con el análisis de cabeceras, resulta curioso encontrar que el campo X-Mailer hace referencia a la librería PHPMailer. Esta cabecera es utilizada para indicar el servicio desde el cual se envía el correo electrónico (Microsoft Outlook, Zimbra, etc), siendo extraño encontrar que la herramienta utilizada sea PHPMailer. Ello es debido a que esta librería la puede implementar cualquier usuario en programas propios de envío de correo para enviar emails a través de PHP, por lo cual, según los indicios encontrados hasta ahora, no da mucha fiabilidad encontrar este valor.
Campo X-Mailer del correo electrónico identificado como phishing
De hecho, es muy fácil configurar los valores de esta herramienta para suplantar la entidad de otra persona, simplemente haciendo uso de los parámetros setFrom y addReplyTo…
Ahora podríamos preguntarnos lo siguiente: ¿Cómo ha sido posible que este correo llegara a la bandeja de entrada y no fuera detectado como spam? A continuación, lo explicaremos.
Existen tres protocolos cuya función conjunta es la autenticación del email para detectar la suplantación de identidad y evitar ataques efectivos. Estos son SPF, DKIM y DMARC (en la segunda parte del artículo los explicaremos en profundidad). Dependiendo del servidor de correo, y la persona encargada de gestionarlo, se establecen unas políticas u otras para identificar la suplantación de identidad como, por ejemplo, comprobar que el dominio del campo From coincide con el dominio del hosting. Es por ello que, aunque podríamos pensar que el atacante ha sido un poco torpe al establecer en el campo From su dominio original en lugar de paypal.com, que es a quién quiere suplantar, podemos entender por qué lo ha hecho. Simplemente ha querido asegurarse que los servidores de correo no etiqueten el email como spam, sea cual sea la política configurada.
Para terminar, recordemos que teníamos un archivo adjunto con extensión .dot. Sería interesante analizarlo para averiguar las intenciones del atacante, así no nos quedamos con la curiosidad. Es por ello que hacemos uso de una máquina virtual para analizar el documento dinámicamente con la ayuda de Cuckoo (nunca en nuestro equipo local). A parte de esta herramienta, la aplicación online gratuita Hybrid Analysis proporciona muy buenos resultados para este tipo de análisis.
El análisis dinámico realizado tanto en Hybrid Analyse como en Cuckoo no ha determinado ninguna evidencia de comportamiento malicioso. Sin embargo, se ha encontrado una URL sospechosa. En primer lugar, vamos a mostrar el contenido del archivo (abierto a través de la máquina virtual).
Contenido del fichero adjuntado en el correo electrónico identificado como phishing
Según las pautas que nos indican, tendríamos que acceder al enlaceproporcionado y entrar a nuestra cuenta antes de las primeras 24 horas desde que se recibe el aviso.
A continuación, abrimos la página web que nos indican a través del navegador de la máquina virtual. Tal y como podemos observar en la siguiente imagen, el propio navegador ha catalogado el sitio como Peligroso y advierte que ha detectado actividades de suplantación de identidad en dicha web.
Advertencia del navegador por posible ataque phishing
Si continuamos, podemos ver que han clonado la página principal de PayPal. Sin embargo, se podrían haber currado un poco más el dominio…
Página web de PayPal clonada
Página web de PayPal original
Siguiendo las ordenes indicadas, el usuario introduciría sus credenciales. Aquí el atacante ya tendría la cuenta del usuario.
Introducción de credenciales en web clonada
Mensaje de limitación de cuenta
Probamos a introducir unas credenciales inventadas y ¡Sorpresa! Te pide a continuación el número de la tarjeta…
Introducción de datos bancarios – Ataque phishing
De forma adicional, se han analizado los procesos del sistema y red para evaluar comportamientos extraños del documento, sin obtener resultados relevantes.
Análisis de procesos
Hasta aquí podríamos dar por finalizado el análisis, determinando que el correo recibido es un ataque phishing. Sería aconsejable que en este caso el usuario marque el email como Suplantación de Identidad en las opciones del mismo. De esta forma, estaría ayudando a que el equipo de soporte de su servidor de correo analice el email y pueda tomar las medidas necesarias para etiquetarlo como Spam. A parte de ello, el equipo de PayPal desea recibir este tipo de notificaciones para investigar el correo, reenviándolo a la cuenta spoof@paypal.com y explicando el problema encontrado.
Como medidas preventivas, en el caso de que un usuario ejecute el archivo adjunto en su equipo o introduzca sus credenciales en una plataforma no fiable, se recomienda actualizar la contraseña y acceder a su cuenta para comprobar que todo esté en orden.
Tal y como mencionamos anteriormente, en la segunda parte del artículo explicaremos en más detalle los protocolos SPF, DKIM y DMARC para conocer su función y cómo nos protegen frente a la suplantación de identidad.
¿Que es Metasploit-Framework? Metasploit es un proyecto open source de seguridad informática que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración "Pentesting" y el desarrollo de firmas para sistemas de detección de intrusos. Su subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Otros subproyectos importantes son las bases de datos deopcodes (códigos de operación), un archivo de shellcodes, e investigación sobre seguridad. Inicialmente fue creado utilizando el lenguaje de programación de scripting Perl aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el lenguaje Ruby. Instalar Metasploit-Framework En Termux Hola amigo en estos momentos te explico como debes de instalar Metasploit en tu teléfono móvil Android mediante el Termux... Sigue los siguientes pasos detalladamente y lo podemos obtener como ...
Qué Hacer Ante un Secuestro Prevenciones y Acciones Hoy en dia la modalidad de secuestro varia mucho, desde los conocidos secuestros físico por medio de la privación de libertad hasta los secuestros virtuales por medio del engaño e ingeniería social. Si bien se establecen por protocolo diversas acciones por parte de las fuerzas policías , dependiendo del modus operandi de este, nosotros no entraremos en discusión de los mismos, sino que nos centraremos en cómo prevenirlos por diversas toma de decisiones y cómo accionar ante los mismos en el penoso caso de ser parte de uno, tanto siendo nosotros el rehén como un familiar del mismo. ********** Prevención: ********** Si bien la metodología de prevención es diversa, en este post nos centraremos en lo que respecta a los medios digitales. Los celulares son claramente una de las mejores herramientas al horario de utilizar dicho sistema para alertar a las autoridades y/o familiares en caso de que estemos en presencia de ...
Seguridad de la Información: Historia, Terminología y Campo de acción Desde alrededor de los años ochenta del siglo pasado, la humanidad se ha visto envuelta e inmersa en una serie de cambios en todas las áreas de la vida pública. Todo a causa del desarrollo progresivo, creciente y masificado de las «Tecnologías de Información y Comunicación ( TIC )». Las «TIC» han originado efectos que incluso, han cambiado nuestra forma de ver apreciar o evaluar nuestro pasado o presente, y hasta redimensionado la forma en la que vislumbramos nuestro futuro como especie. Cambios o efectos, que incluso han llegado a cambiar nuestro lenguaje usado , debido a la creación, uso y popularidad de una inmensa variedad de nuevas palabras, conceptos e ideas, hasta hace poco desconocidas o pensadas. Y con está publicación esperamos ahondar sobre estos aspectos y conocer un poco sobre el actual tema de la «S eguridad de la Información » como un aspecto esencial de las actuales «TIC» sobre la socieda...
Contenido del fichero adjuntado en el correo electrónico identificado como phishing
Comentarios
Publicar un comentario