¿Cómo es una campaña de phishing?

Los delicuentes (hackers, spammers, estafadores, etc.) se preocupan por los números: cuantos más datos tengan, mejores serán sus posibilidades de éxito y de obtener beneficios económicos. Utilizan una variedad de métodos para obtener su dirección de correo electrónico, desde el uso de listas baratas “disponibles públicamente” y la explotación de sitios web para obtener descargas de datos hasta el uso de software de rastreo para obtener direcciones de correo electrónico de miles de páginas web. Pueden obtener fácilmente un millón de direcciones de correo electrónico para usar en sus campañas de phishing.

By Mia Thompson | 21 Marzo, 2019

Nota: Por razones de privacidad, la identidad de la cuenta hackeada en el ejemplo utilizado para este blog ha sido cambiada.

En este ejemplo, los hackers están fingiendo ser PayPal, informando a los usuarios que su acceso a la cuenta ha sido bloqueado y la cuenta suspendida por razones de seguridad. Para restaurar el acceso a la cuenta, solicitan a los usuarios que hagan clic en el enlace del correo electrónico para confirmar sus datos personales.

¿Cómo te das cuenta de que se trata de un correo electrónico de phishing?

En el campo “De” observe que el remitente no es una dirección estándar de PayPal, sino: “servicems@xxx”. Al hacer clic en el enlace se accede al siguiente sitio:

Si observas las cabeceras de correo electrónico en la imagen, también verás signos reveladores de que no se trata de un sitio Web de PayPal legítimo. Por ejemplo, a continuación:

  • El script X-PHP de “senddd.php” no es algo que PayPal usaría nunca
  • X-PHP Filename indicaría que es un script PHP diferente el que envió el correo electrónico real.
  • El X-Message ID no muestra la parte típica de “@PayPal.com
  • Las cabeceras recibidas no muestran los servidores legítimos de PayPal

He aquí un ejemplo de cómo es el “senddd.php”. Como puedes ver, este es un script de correo personalizado estándar de PHP que viene en todas las formas y tamaños, donde los actores malos son capaces de establecer el tema, desde, y los campos de contenido a cualquier cosa que deseen. En el campo “Maillist” el hacker añadirá una lista completa de direcciones de correo electrónico encontradas utilizando uno de los métodos mencionados anteriormente (por ejemplo, copiando). Normalmente el servidor de correo electrónico no les pertenece, y por lo tanto no les importa si se pone en una lista negra.

Cuando los usuarios se conectan al falso “sitio de PayPal” y continúan completando toda su información personal y de cuenta (ver más abajo capturas de pantalla), los delincuentes tienen acceso a toda su información, que se guarda automáticamente en el sitio que utilizan. Este es un ejemplo de un kit de phishing avanzado, donde no sólo se solicita información básica, sino también contraseñas, información de tarjetas de crédito y capturas de pantalla de pasaportes.

A medida que los usuarios completan la información de su tarjeta de crédito, los delincuentes guardan toda la información en el módulo de servicio con la ayuda de un pequeño script PHP. Mirando de cerca el guión de la imagen de abajo, podemos ver que los estafadores están guardando toda la información vital que necesitan para cometer fraude y luego simplemente enviando toda la información a su propia dirección de correo electrónico.

Finalmente, los usuarios reciben una confirmación de que su cuenta ha sido verificada con éxito, y son redirigidos automáticamente al sitio oficial de PayPal. Mientras tanto, los delincuentes han guardado tu información personal, incluyendo números de tarjetas de crédito, fotos de pasaporte y contraseñas relevantes, todo lo que se necesita para que los delincuentes causen daños.

Como se ha visto en este blog, actuar sobre los correos electrónicos de phishing podría tener consecuencias graves. Con eso en mente, aquí hay cuatro pasos que puedes tomar para protegerte:

  • Compruebe siempre la URL En caso de duda, NO hagas clic. Pasa el ratón por encima del enlace para ver hacia dónde se dirige el enlace. Si la dirección que aparece en el eslabón en cuestión no es la misma que la dirección que dice que es, NO hagas clic en ella. Si haces clic accidentalmente en el enlace, no introduzcas ninguna información en el sitio web; simplemente cierre la ventana del navegador.
  • Busca archivos adjuntos de correo electrónico maliciosos Ten cuidado al recibir archivos adjuntos de correo electrónico. Es importante recordar no abrir a ciegas los archivos adjuntos; comprueba primero el archivo guardándolo en tu carpeta de descargas. A continuación, asegúrate de que estás usando Windows para establecer las opciones de tu carpeta en “mostrar tipos de archivos conocidos” para que puedas ver la extensión del archivo (por ejemplo, las tres letras al final del nombre del archivo). Descomprime el archivo.zip de tus descargas y visualiza la extensión del archivo. Si contiene alguno de los siguientes elementos: .JS,.EXE,.COM,.PIF,.SCR,.HTA,.vbs,.wsf,.jse, o.jar al final del nombre del archivo es malicioso y no debes hacer clic sobre él ni intentar abrirlo.
  • Añade una potente seguridad al correo electrónico Soluciones como SolarWinds® Mail Assure pueden ayudarte a proteger tu correo electrónico de los ataques de phishing. Al aprovechar la inteligencia colectiva para la seguridad del correo electrónico entrante y saliente, Mail Assure utiliza los datos obtenidos de la supervisión de más de 2 millones de dominios bajo gestión. Estos datos se incorporan a nuestro motor de protección inteligente para combinarlos con el reconocimiento de amenazas casi en tiempo real, basado en patrones y una variedad de tecnologías de filtrado para ayudar a proteger contra el spam, los virus, el software de rescate, el malware, los ataques de phishing y otras amenazas transmitidas por el correo electrónico.
  • Configurar SPF, DKIM y DMARC Como parte de una solución de seguridad de correo electrónico, puedes tomar medidas adicionales y configurar SPF, DKIM y DMARC. SPF (Sender Policy Framework) se utiliza para restringir qué servidores de correo pueden enviar correo electrónico para un nombre de dominio específico. Este marco de trabajo está diseñado para detectar y bloquear el spoofing de correo electrónico al proporcionar un mecanismo que permite a los intercambiadores de correo recibir correo para verificar que el correo entrante de un dominio proviene de una dirección IP autorizada por los administradores de ese dominio. DKIM es un método utilizado para firmar sus correos electrónicos salientes para que el destinatario pueda verificar que los mensajes proceden del remitente especificado y que el contenido del mensaje no ha sido alterado. Por último, DMARC (Domain-Based Message Authentication, Reporting and Conformance) es un protocolo de correo electrónico diseñado para ayudar a evitar la suplantación de correo electrónico cuando se utiliza junto con SPF y/o DKIM.

Si deseas proteger el correo electrónico contra ataques de phishing, incluidas otras amenazas transmitidas por el correo electrónico, inicia una versión de prueba con SolarWinds Mail Assure hoy mismo y descubre cómo podemos ayudarte a mantener tus bandejas de entrada limpias.

Puedes ver el artículo original aquí

Deja un comentario