¡Alerta Phishing! 1


En verano los phishers del Este están dispuestos a hacer su agosto.
Y no lo hacen mal del todo, cuando sus correos consiguen burlar los filtros de reputación, los parámetros cualitativos y el engagement del usuario; y aparecen en la Bandeja de Entrada.
El texto no es perfecto pero aún puede dar el pego.


















En este caso lo interesante es observar de qué servidor procede el correo.
Vamos a abrir el enlace en nuestra Sanbox favorita: Any.


 

 La página es exactamente igual a la original, aunque albergada en un hosting ruso.



Dicho hosting es probable que ignore las actividades que alberga.
En un hosting donde tuve alojado material, descubrí que la reputación  de mis páginas era penosa. ¿Por qué si guardaba material de prácticas con muy pocas visitas? Porque compartía IP con unos vecinos que se dedicaban al noble arte del Spam.




Investigando en las numerosas opciones de Any, comprobamos la razón de que el portal de usuario/clave sea tan parecido al original ¡Es el mismo! Los phishers copian el código fuente de la web legítima. Lo único que chirría, aparte del origen del mail es la URL http que no cuadra con la real. Por desgracia hay usuarios con conocimiento básicos que podrían caer víctimas del engaño.
De hecho si buscamos el URL en Virus Total, no arroja ni un solo positivo; otro punto a favor de los phishers.





Visitando el dominio al que pertenece el servidor de correo, vemos que es legítimo. Probablemente  haya sido asaltado por los phishers y lo estén utilizando sin conocimiento de sus administradores.


Utilizando Shodan, el buscador oscuro, se observa que el servidor tiene dieciseis potenciales CVE (Common Vulnerabilities and Exposures).




Tras la investigación, solo queda realizar la notificación a mi proveedor de correo para que tomen las medidas oportunas, evitando quizas víctimas del phishing que vean vaciadas sus cuentas corrientes.


En próximas entregas hablaremos de los filtros y protocolos que minimizan las oleadas de spam que, de otro modo, bloquearían nuestra bandeja de entrada.
 

Comentarios

Entradas populares