Análisis de un correo electrónico de Phising

Que es el phising? 

Tomando la definición de wikipedía básicamente es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea [1] o incluso utilizando también llamadas telefónicas 

Fuente (http://es.wikipedia.org/wiki/Phishing)

Hoy vamos a analizar un correo electrónico recibido por uno de nuestros clientes,  quien ha compartido la información con nosotros para analizarla y publicarla.

<!1.    Envío del correo electrónico.

A pesar de que las herramientas de AntiPhising de Hotmail alertan del problema,  el mensaje fraudulento es recibido en la bandeja de entrada del usuario,  que en manos de un usuario inexperto podría caer en la trampa.

Al dar click en la opción Mostrar el contenido iniciamos a revisar punto por punto como operan estos correos fraudulentos y como siguen apropiándose de la información privada de los usuarios incautos sin que las autoridades locales de los países afectados intervengan y tampoco las entidades globales de internet.

Al revisar el código fuente del correo electrónico usando la opción descrita en la imagen siguiente se comprueba que el correo electrónico descarga una imagen hospedada en un servidor web comprometido.

 

Subject: Davivienda S.A

From: Cuenta Bloqueada<Davivienda@eltiempo.com>

MIME-Version: 1.0

Content-Type: text/html; charset=»iso-8859-1″

X-Priority: 1 (Higuest)

X-MSMail-Priority: High

Importance: normal

Reply-To: Davivienda@eltiempo.com

Return-Path: ceetusr@eltiempo.com

X-OriginalArrivalTime: 15 May 2012 04:14:11.0812 (UTC) FILETIME=[2E899240:01CD3251]

<html>

<body>

<center>

 <p>Para visualizar correctamente este correo haga clic en mostrar imagenes</p>

  <p><img src=»http://www.grodcoconcesiones.com.co/imagenesadministrador/Mensaje.jpg» border=»0″ usemap=»#Map»>

    <map name=»Map» id=»Map»>

      <area shape=»rect» coords=»228,698,400,779″ href=»http://222.128.6.141/index.html» />

      <area shape=»rect» coords=»322,831,357,859″ href=»http://222.128.6.141/index.html» />

    </map>  

  </p>

</center>

</body>

</html>

 

Adicionalmente el correo electrónico tiene origen en los servidores aquí descritos;  

x-store-info:sbevkl2QZR7OXo7WID5ZcVBK1Phj2jX/

Authentication-Results: hotmail.com; sender-id=softfail (sender IP is 200.41.9.251) header.from=Davivienda@eltiempo.com; dkim=none header.d=eltiempo.com; x-hmca=fail

X-SID-PRA: Davivienda@eltiempo.com

X-SID-Result: SoftFail

X-DKIM-Result: None

X-Message-Status: s1:0:n

X-AUTH-Result: FAIL

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MTtHRD0xO1NDTD0y

X-Message-Info: NhFq/7gR1vQ8HYpTTD73yxNCczFurQ1xl5Wx1KDl5JdU2JZGGu+QKweE0n5pwLQ/EIUKpwAu87lyM/lusPyIJz2M1M9CeHlEJnQUVL1eBoo8c9ZJf80WTvFkpc9rzLFIGQ59pkq1EvzsjpijgUOYPw==

Received: from ceetmail.eltiempo.com ([200.41.9.251]) by SNT0-MC2-F44.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);

Esta imagen está hospedada en un servidor de Internet de la concesión vial ZMB de Bucaramanga Colombia,  probablemente el administrador de este sitio no está enterado de lo que está hospedando ni mucho menos que su sitio ha sido comprometido.

Usando un mapa de HTML se programa que al dar click en la imagen descargada se acceda a un servidor web cuya dirección está ubicada en China:

<map name=»Map» id=»Map»>

<area shape=»rect» coords=»228,698,400,779″ href=»http://222.128.6.141/index.html» />

<area shape=»rect» coords=»322,831,357,859″ href=»http://222.128.6.141/index.html» />

    </map>

TraceRoute to 222.128.6.141

Hop

(ms)

(ms)

(ms)

 

     IP Address

Host name

 

  20 

  0 

  0 

     8.9.232.73

 xe-5-3-0.edge3.dallas1.level3.net  

 

  1 

  1 

  1 

     4.69.145.76

 ae-2-70.edge2.dallas3.level3.net  

 

  5 

  4 

  4 

     144.232.24.17

 sl-st30-dal-.sprintlink.net  

 

  5 

  5 

  4 

     144.232.25.189

  –  

 

  4 

  4 

  4 

     144.232.1.44

 sl-crs1-fw-0-7-0-0.sprintlink.net  

 

  40 

  42 

  41 

     144.232.25.159

 sl-crs1-ria-0-4-2-0.sprintlink.net  

 

  41 

  41 

  41 

     144.232.25.156

 sl-crs1-ana-0-10-0-0.sprintlink.net  

 

  40 

  40 

  40 

     144.232.0.37

 sl-gw29-ana-0-0-0.sprintlink.net  

 

  507 

  512 

  515 

     160.81.147.166

 sl-china6-1-0.sprintlink.net  

 

10 

  517 

  519 

  510 

     219.158.97.9

  –  

 

11 

  543 

  541 

  533 

     219.158.11.17

  –  

 

12 

  611 

  Timed out 

  610 

     219.158.4.157

  –  

 

13 

  598 

  576 

  574 

     123.126.0.74

  –  

 

14 

  596 

  584 

  590 

     124.65.56.154

  –  

 

15 

  Timed out 

  611 

  616 

     61.148.163.222

  –  

 

16 

  604 

  Timed out 

  580 

     222.128.6.141

  –  

Trace complete

Al cargar la página index.html del servidor 222.128.6.141 se descarga la página hospedada en el servidor mix58fm.com cuyo hosting está en Estados Unidos a nombre de Rhode, Alejandro lights1@adelphia.net.

 

 

 

El sitio tiene exactamente la misma apariencia del sitio original de Davivienda, lo cual se logra utilizando la herramienta de copiado HTTrack Website Copier/3  (http://www.httrack.com)

Una vez que el sitio captura los datos del cliente solicita cerrar la ventana.

Al parecer no es muy fácil que alguien caiga en estos sitios,  pero es más comun de lo que se cree.

{youtube}7a7rwM4e6W4{/youtube}