|
01 de Septiembre de 2009
Posted in
Hacking -
Hacking Web & E-mail
Que grata sorpresa, abrir mi correo electrónico y encontrarme un email en la bandeja de entrada de Hacienda (que somos todos), comunicándome que soy "elegible" para recibir una compensación de 186.80 euros. Esto es la mejor noticia de este complicado día que llevo...voy a informarme pinchando en el enlace...Mejor NO. Párate un momento a pensar en ello: Hacienda te contacta por e-mail para darte dinero en un plazo máximo de tres días... suena a fraude ¿no?
Vamos mejorando en la composición e imitación de estos correos maliciosos, ya no los escriben monos que no saben ni escribir en castellano, por lo que resultaban totalmente inverosímiles. Pero indicarme que soy "elegible", "elegible" ¿de qué?, no he sido seleccionado para un concurso o algo así. Además si soy "elegible", no he sido elegido, sino que estoy en el bombo simplemente. Bueno, sin darle más importancia al tema, veamos las propiedades del correo, miremos en su interior:
Cabecera de datos:
Delivered-To: sti@soportec.com
Received: from misiva24.acens.net (localhost [127.0.0.1])
by localhost (Postfix) with SMTP id 382BA296F3D
for <sti@soportec.com>; Tue, 1 Sep 2009 17:44:57 +0200 (CEST)
Received: from correo12.acens.net (rs-0-218.acens.net [217.116.0.218])
by misiva24.acens.net (Postfix) with ESMTP id CC32A296F39
for <sti@soportec.com>; Tue, 1 Sep 2009 17:44:56 +0200 (CEST)
Received: (qmail 21571 invoked from network); 1 Sep 2009 15:44:56 -0000
Received: from unknown (HELO smtp.cantina1511restaurant.com) ([98.21.125.138])
(envelope-sender <impuestos@aeat.es>)
by correo12.acens.net (qmail-ldap-1.03) with SMTP
for <sti@soportec.com>; 1 Sep 2009 15:44:56 -0000
Received: from User ([72.17.174.90]) by smtp.cantina1511restaurant.com with Microsoft SMTPSVC(6.0.3790.3959);
Tue, 1 Sep 2009 11:44:53 -0400
Reply-To: <impuestos@aeat.es>
From: "Agencia Tributaria"<impuestos@aeat.es>
Subject: Reembolso de Impuestos
Date: Tue, 1 Sep 2009 11:44:53 -0400
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Return-Path: impuestos@aeat.es
Message-ID: <MRSVR01dWGHpPnqNI4l00000366@smtp.cantina1511restaurant.com>
X-OriginalArrivalTime: 01 Sep 2009 15:44:54.0101 (UTC) FILETIME=[2659C850:01CA2B1B]
To: undisclosed-recipients:;
X-PMX-Version: 5.5.7.378829, Antispam-Engine: 2.7.2.376379, Antispam-Data: 2009.9.1.153318
X-PMX-Spam: Gauge=X, Probability=12%, Report='
CTYPE_JUST_HTML 0.848, HTML_70_90 0.1, CHARSET_CYRILLIC_NO_CYRILLIC 0.05, BODY_SIZE_5000_5999 0, BODY_SIZE_7000_LESS 0, CHARSET_W1251_NOT_CYRILLIC 0, FORGED_MUA_OUTLOOK 0, LINK_TO_IMAGE 0, RDNS_GENERIC_POOLED 0, RDNS_POOLED 0, RDNS_STATIC 0, RDNS_SUSP 0, RDNS_SUSP_SPECIFIC 0, SPF_NONE 0, TO_UNDISCLOSED_RECIPIENTS 0, USER_AGENT_OE 0, __CHARSET_IS_CP1251 0, __CT 0, __CTE 0, __CTYPE_HTML 0, __CTYPE_IS_HTML 0, __HAS_HTML 0, __HAS_MSGID 0, __HAS_MSMAIL_PRI 0, __HAS_XOAT 0, __HAS_X_MAILER 0, __HAS_X_PRIORITY 0, __HTML_BOLD 0, __MIME_HTML 0, __MIME_HTML_ONLY 0, __MIME_VERSION 0, __OUTLOOK_MUA 0, __OUTLOOK_MUA_1 0, __PHISH_SPEAR_STRUCTURE_1 0, __RDNS_POOLED_9 0, __RECEIVED_FROM_USER 0, __RUS_HASHBUSTER_1251 0, __SANE_MSGID 0, __STOCK_PHRASE_7 0, __TAG_EXISTS_HTML 0, __TO_MALFORMED_3 0, __URI_NS , __USER_AGENT_MS_GENERIC 0'
Podemos ver varios detalles en la cabecera. Muy bien lo de envelope-sender (impuestos@aeat.es) o el campo "From" y "Reply". Pero el X-Mailer es Outlook Express 6 y no creo yo que este tipo de correos automatizados se envien mediante este software uno a uno. Lo más simpático es lo de smtp.cantina1511restaurant.com, aquí ya la hemos armado gorda. El SMTP de hacienda se llama cantina1511restaurant (AEAT se dedica a la restauración).
Pero el fin de la cuestión no es el diseño, ni el estilo, ni la cabecera, ni la cantina (por cierto ya he avisado a los de la cantina que tienen un problema de seguridad con el servidor de correo smtp), sino el link, que es a donde se le van los dedos a uno "http://mail.oceanic-fruits.com/", tiene toda la pinta de ser un servidor legítimo pero comprometido.
Miremos en whois a ver de quién es este dominio:
[owner-c] handle: 9390906
[owner-c] type: PERSON
[owner-c] title:
[owner-c] fname: Ulrike
[owner-c] lname: Nasri
[owner-c] org: Oceanic
[owner-c] address: Brooktor
[owner-c] city: Hamburg
[owner-c] pcode: 20457
[owner-c] country: DE
[owner-c] state: DE
[owner-c] phone: +49-40-2100790
[owner-c] fax: +49-40-30384399
[owner-c] email:
Además posiblemente el dominio principal no lo esté, sino el subdominio mail. Ahora toca abrir el VMware con mi Windows sin actualizar para ver lo que pasa cuando entro, imagino que es un troyano, pero veamos... Mala suerte, el index no está activo, quizás lo descubrieron y lo borraron o quizás no está todavía activo. Probemos con el teleport. El teleport es un software muy utilizado por los hackers y por los "buenos" para clonar páginas Web, como en este caso la de AEAT. Le pedimos que reciba el contenido de ese dominio y ... ¡Bingo! el contenido del portal malicioso ya está aquí.
No es como pensaba un inyectador de troyano basado en vulnerabilidades, sino un formulario que nos pide datos como el número de la tarjeta de crédito y el PIN y valida el tipo de datos mediante funciones javascript. Tras rellenar el formulario y darle a enviar datos, utiliza una función de envío de datos a un email y nos devuelve una página amable de agradecimiento por parte de Hacienda (http://0126.013624501/ss/submit.php) y nos lleva a la página real de AEAT. Algo muy común para dar en Internet: el PIN de la tarjeta. Esto ya resulta demasiado, pero este tipo de páginas funcionan gracias a la estadística. A millones de envíos de email, alguno pica.
Esto es un ejemplo de como se realiza a groso modo una auditoría de un correo malicioso que nos lleva a descubrir los dominios comprometidos y los receptores de correo del fraude. Estudiando el código fuente de la página o del correo podemos descubrir todos los datos necesarios para abrir una investigación o para alertar a las partes comprometidas, que probablemente el único mal que han hecho es no mantener sus servidores actualizados y seguros.
| < Anterior | Siguiente > |
|---|
Acerca del autor Yago Fernandez Hansen
Yago Fernández Hansen cuenta con master en ingeniería de software, además de contar con mas de 8 años de experiencia en tecnologías inalámbricas. Es especialista en la implementación y auditoria de redes Wi-Fi. Cuenta con amplia experiencias en motores de datos, sistemas Microsoft, Linux y Networking. Es formador y consultor en seguridad informática y métodos de penetración en redes Wi-Fi para empresas e instituciones. Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con publicaciones y artículos de informática, además de ser colaborador directo y revisor de publicaciones técnicas de la editorial Rama. Ha impartido diferentes talleres y seminarios de hacking ético y seguridad en Wi-Fi para empresas, organizaciones públicas y universidades.
Conocer mas sobre Yago Fernandez Hansen
http://www.seriesdetv.com/sites/www.seriesdetv.com/files/Montgomery...