SEAMOS NUESTRO PROPIO CSI (II): Analizando un PHISHING

 robodeidentidad320

      Todavía son muchos los que confunden el verdadero “cibersignificado” del término “PHISHING” y lo asocian, única y exclusivamente, al robo de datos de acceso a cuentas bancarias, usuario y contraseña  (robo de credenciales bancarias).

      Este error generalizado posiblemente sea consecuencia de la manía que tenemos de “anglicanizar” (poner palabros raros) a todo lo que tocamos, sobre todo a lo que se refiere a las nuevas tecnologías

     Con esta entrada intentaré no solo intentaré explicaros lo que realmente es un “PHISHING”, para que tengamos claro en que consiste esta actividad que llevamos abordando en este Blog desde los inicios del mismo (ver entradas sobre phishing), si no que también pretendo enseñaros a detectarlos de forma sencilla y comprensible para tod@s los lectores de este Blog.

       Vamos a dejar nuevamente claro el significado de “Phishing” (del inglés pescar). Este término es utilizado para referirse al método utilizado por los ciberdelincuentes para, de forma fraudulenta, obtener información confidencial de su víctima relativa a sus datos personales, claves de acceso, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo, mediante un ataque de phishing el ciberdelincuente obtiene todos los datos posibles para luego ser usados de forma fraudulenta con el fin de suplantar la identidad de la víctima.

     phishingilustrationEl ciberdelincuente, que en este caso es conocido como phisher, utiliza técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza utilizando un correo electrónico, o cualquier otro sistema de mensajería instantánea, redes sociales SMS/MMS, o incluso utilizando llamadas telefónicas.

      El fin no es otro que el robo de nuestra información personal

.

      Estas técnicas pretenden potenciar el factor miedo, para inducir y casi obligar a la victima a que aporte los datos personales solicitados. Suelen ir acompañadas de avisos de caducidad los servicios con esa compañía (servicio de Internet, acceso a cualquier servicio, banca online, etc). La víctima contará siempre con un muy corto periodo de tiempo para evitar una reacción contraria a las expectativas del ciberdelincuente, por ello utilizarán mensajes del tipo “su cuenta caducará en 24hs.” o “si no ingresa la información en las próximas horas...” son frecuentemente utilizados en este tipo de campañas.

      Ya vimos también, en la entrada “SEAMOS NUESTRO PROPIO CSI: ANALIZANDO CORREOS ELECTRÓNICOS FRAUDULENTOS”, como analizar de forma sencilla un correo del que tengamos sospecha de que su remitente pudiera tener intenciones fraudulentas con nosotros.

     robo_identidad Normalmente la vía más sencilla, que tienen los ciberdelincuentes, de llegar a sus víctimas es mediante campañas de SPAM, que también hemos explicado en este blog (ver entradas sobre SPAM).

   Una vez que el “malo” ha conseguido su objetivo, nuestros datos personales, comienza la segunda fase, usurpar nuestra identidad. Ya sea bancaria, nuestros perfiles en redes sociales, nuestro correo electrónico o cualquier “ciberidentidad” que les hayamos regalado. En definitiva utilizarán nuestra “Identidad Robada”

   En esta entrada vamos a analizar un comunicación que ha llegado al correo electrónico de este blog, vamos a intentar determinar si es un correo fraudulento, y vamos a explicar la finalidad que pretenden dar los ciberdelincuentes con los datos obtenidos.

         Este es el correo electrónico recibido

CAPTURA CORREO

       Lo primero que vemos, si analizamos el texto, es que nuestro comunicante no utiliza nuestro idioma de forma correcta. Podríamos decir, incluso, que ha utilizado un servicio de traducción, mejor dicho, de mala traducción. Como ejemplo claro “… su cuenta podrá ser suspendido … “ donde se observa que ni tan siquiera hace buen uso del género (masculino/femenino) en la frase, tampoco debemos ser grandes expertos lingüistas para darnos cuenta de esos errores en la utilización del lenguaje utilizado.

      Otro punto a tener en cuenta, y de los más importantes, es que quien nos envía el correo electrónico, que en este caso viene de “servicealert.s@libero.it”, y nada tiene que ver con el gestor de correo electrónico utilizado por el Blog (Gmail).

     Luego, en este caso, el problema relacionado con nuestra supuesta cuenta de correo lo será con una relativa al dominio “libero.it” un servicio de correo electrónico en Italia del que además no somos clientes, pero pudieran hacerlo con la idea de que cualquier incauto pueda dar sus credenciales aún sin disponer cuenta en ese servicio italiano de correo electrónico.      Phising01

       Como veis los malos ni tan siquiera han tenido la preocupación de lanzar su campaña de SPAM contra cuentas de correo relativas al dominio “libero.it”, han  lanzado el SPAM a cualquier cuenta de correo que ha aparecido en su camino, por aquello de que “si cuela, cuela”, ¿y si diese la casualidad que alguno de estos que lo reciben tuvieran cuenta de correo en “libero.it”? ¿Y si diese la casualidad que alguno de los receptores, independientemente del servicio de correo que utilicen, contestan el correo aportando los datos solicitados?

       Pues no pasaría nada, al menos de forma inmediata, aunque solo habría que esperar acontecimientos. Nuestros “cibermalos” no tardarán en utilizar nuestros datos personales gracias a nuestra inconsciencia, a nuestra falta de información sobre estos peligros y a nuestra falta de sentido común.

“Queridos amigos “malos malotes”, siento deciros que no es el caso ;-), ¡mira que mandar ese tipo de correos precisamente a este blog! … Por cierto, se os olvidó pedir las credenciales bancarias ¡Ya puestos!.”

         Bien, ya tenemos claro que el objetivo de nuestros “queridos” ciberdelincuentes son los usuarios de un correo electrónico en concreto (o cualquiera que se ponga en su camino), para hacer más creíble su engaño se han dado de alta con una cuenta que pudiera hacer alusión a un “Servicio de Alerta” (servicealert.s@libero.it) en el mismo dominio del que quieren obtener información de sus usuarios y todo ello para hacer más fuerza en su engaño.

        Vamos a continuar y vamos a intentar determinar quién nos ha enviado el correo electrónico, la verdad que este correo no tiene “buena pinta”. Para ello vamos a preguntar a ver si alguien conoce a nuestro “corresponsal” haciendo una búsqueda en el oráculo (Google) introduciendo la cuenta de correo de nuestro “amig@”  y rápido vemos que no debe de tener muy buenas intenciones.

busqueda

      Vamos a darle todavía un voto de confianza, a lo mejor, aunque no tengamos un correo en ese dominio, nuestro ciberdelincuente no quiere realmente engañarnos, posiblemente sea un error y se ha confundido al enviarnos el correo. Vamos a intentar saber un poquito más sobre sus intenciones.

    Ahora tenemos que intentar averiguar desde donde nos han enviado el correo electrónico, que lógicamente habrá sido desde Italia (¡bueno esto ya lo veremos!), donde tiene sus servicios la empresa “Libero.it”.

      Para ello vamos a entrar en las propiedades del correo que hemos recibido, en nuestro caso utilizamos el servicio de GMAIL, luego veremos las propiedades entrando en “Mostrar Original”.

CAPTURA CORREO 2

     Y nos mostrará el formato original del correo electrónico, donde aparecerán todos los servidores por los que ha pasado el correo electrónico. Traducido esto, nos mostrará la dirección IP (la asimilamos a la dirección postal de una carta) desde donde se envió el correo electrónico, así como las direcciones IP (las asimilamos a las oficinas de correos) por donde ha pasado el correo desde que lo enviaron.

CAPTURA CORREO 3

      A nosotros nos interesa la “dirección” de nuestro remitente,  la IP que aparece en primero lugar y que nos encontramos viendo este “amasijo” de textos y caracteres raros, normalmente aparece en el primer campo “RECEIVED”, pero en esta ocasión ese primer campo es denominado “X-SenderIP” (IP de envío). Que como observamos en nuestro caso es la IP 196.201.74.141

      Bueno, ya sabemos dónde vive nuestro comunicante, vive en 196.201.74.141, ¡qué calle más rara! ¿Verdad?, y ahora ¿cómo podemos seguir?

      Pues vamos a dar ya el último paso, para comprobar desde donde nos han enviado el correo electrónico. Y para ello vamos a utilizar un servicio online de geolocalización de IP,s, como por ejemplo el servicio ofrecido en http://es.geoipview.com/

CAPTURA CORREO 6

       ¡Vaya, pues parece ser que nuestro remitente tampoco va a estar en Italia!, parece ser que el correo nos lo ha enviado desde Costa de Marfil.

            Vamos a recapitular…

       ¿Cómo llega este correo a mí y que primera impresión puedo obtener?

  • Alguien que no conozco me envía un correo electrónico haciéndose pasar por mi servidor de correo electrónico (¿podría ser un intento de estafa o engaño?)
  • Aunque el correo está escrito en mi idioma, su uso no es todo lo correcto como debería serlo, se podría asegurar que el comunicante no es una persona que utilice mi idioma normalmente o que esté utilizando un servicio de traducción online. (¿podría ser que alguien se está haciendo pasar por otra persona o servicio para engañarme y llevar a efecto un  intento de estafa?)
  • Me dice que hay un problema en el servicio y me pide mis datos personales, incluidos teléfonos y contraseñas y me pide mis datos personales y de acceso. Yo sé que ningún servicio de Internet o banco online se pondrá en contacto conmigo de esta forma. (¿podría ser un intento de estafa o engaño?)
  • Hago una búsqueda en Google relativa a la cuenta de correo remitente y ya en las primeras entradas aparece como que es una cuenta de correo utilizada para correo utilizado para estafar y robar identidades en Internet. (¿podría ser realmente un intento de estafa o engaño?)
  • El correo me lo han enviado realmente desde un país africano con el que no tengo ningún tipo de relación. (¿podría ser un intento de estafa o engaño de las llamadas “Estafas Nigerianas?)

        Si te encuentras en un caso en el que puedas sospechar de que pudiera ser un correo basura con intención de robar tu identidad debes hacerte estas preguntas.

Y SI LA CONTESTACIÓN A SOLO UNA DE ELLAS ES SI…

ALERTA

          ¿Cómo se detecta un correo SPAM que pretende robar mi identidad?

      En este caso los “ciberdelincuentes” no se han molestado demasiado, simplemente han enviado un correo masivo a muchas cuentas de correo, solicitando directamente los datos que necesitan y esperando que alguien “pique“.

      En otras ocasiones, la mayoría, estos intentos de “PHISHING” son un poco más elaborados y sofisticados. En el correo electrónico nos incluyen un enlace a una página web (link) que simula ser la del servicio por el que pretenden hacerse pasar (red social, servidor de correo, banco, etc) y que es donde deberemos de introducir nuestros datos. Está página web no es la verdadera, es una copia exacta a la que tienen acceso los cibercriminales que recopilarán todos los datos personales que les enviemos.

      Una imagen vale más que mil palabras y la forma más sencilla de presentar una “radiografía” de lo que es un robo de identidad “PHISHING” y que debemos de hacer en caso de haber caido en el engaño es con esta infografía de la Oficina de Seguridad del Internauta (OSI).

    Después de una larga entrada, un poquito más técnica y pero sin ser comparable a las de los GRANDES blogs de Security By DefaultUn informático en el lado del mal, Flu Project, y muchos otros que encontraréis en la Sección de GRANDES EN LA RED de este blog, 😉 , quisiera deciros que igual que ellos “descienden” a nuestro nivel como cuando participan en X1RedMasSegura, nosotros también tenemos que subir e ir poco a poco aprendiendo y adaptándonos a su “mundo”, al nuevo “mundo digital”

      RESUMIENDO: ya sabemos que mediante una campaña de  correo electrónico no deseado “SPAM” nos puede llegar un correo mediante el que un ciberdelincuente pretende robarnos nuestra identidad “PHISHING”.

      El inconveniente es que,  en este caso para los “cibermalos”,  han topado con la gente concienciada de X1RedMasSegura, que cada día son/somos más, y que gracias a su/nuestra educación digital y concienciación de los peligros de Internet harán/haremos todo lo posible por hacer cada vez más difícil que los efectos de la ciberdelincuencia llegue a sus/nuestros círculos.

      Y además no bajamos la guardia en la red porque estamos convencidos que en Internet…

     Nosotros somos nuestra peor vulnerabilidad, pero también somos nuestro mejor antivirus.

       Nos vemos en la Red…

X1RedMasSegura


FUENTES:  OFICINA DE SEGURIDAD DEL INTERNAUTA (OSI)

email

2 pensamientos en “SEAMOS NUESTRO PROPIO CSI (II): Analizando un PHISHING

Responder a Rosa Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *