Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 8 de octubre de 2009

Nivel de (in)madurez en materia de prevención

Hace unos días me llegó un correo electrónico (no llegó como spam) que me llamó poderosamente la atención, por lo cual me interesó saber su origen. A continuación pueden ver una captura del correo.

Se trata de un mensaje falso enviado de manera intencional a mi dirección de correo. Lo primero que se me cruzó en la mente al verlo fue, por un lado, el recuerdo de los viejos "xploits" que creía, erróneamente, desaparecidos por el sólo hecho de subestimarlos debido a su sencillez y su condición muy burda para intentar engañar a los usuarios; por el otro, las preguntas… ¿serán efectivos en la actualidad?, ¿cuál es el nivel de prevención de los usuarios frente a este tipo de engaños?
La cuestión es que también quería conocer su origen. Fue así que llegué hasta una página web que ofrece el "servicio", precisamente, de envío de este tipo de engaños con varias alternativas en cuanto a las estrategias empleadas. Y claro… en realidad, no es que los "xploits" dejaron de existir sino que cambiaron de nomenclatura, ya que esto no es otra cosa que Phishing.

Sin embargo, antes de abordar con mayor detalle algunas características de este sitio, me gustaría compartir algunos de los argumentos manifestados por el autor del mismo a través de las "condiciones de uso". Lo primero que podemos leer es la bienvenido…

"Te interesaría descubrir las contraseñas de amigos/as, novios/as, jefes/as, enemigos/as de quien tú quieras?
Sabias que obteniendo la contraseña de tu Victima podrías conseguir muchísimas cosas como datos personales, datos de acceso a sitios personales e infinidad de información."

Este tipo de actividades esta penada en la mayoría de los países ya que el correo presenta el carácter de privado… ¿apología al delito? Además… alguien quiere acceder a mi cuenta de correo :)

Luego sigue con algunas cosas graciosas curiosas que comparto… "Toda la información aquí expuesta es para uso educativo y/o científico."

¿Uso científico?... sin palabras...

"Nuestro software no se diseña para ser utilizado para los propósitos malévolos, el producto fue pensado para los adultos responsables, no cualquier persona bajo edad de 18 años podrá utilizar nuestros programas."

Sin embargo, al acceder al sitio no se despliega ninguna advertencia que manifieste que solo pueden acceder al sitio los mayores de 18 años…

"Los programas espías fueron creados como solución para la supervisión y la vigilancia alejadas de la computadora.”

Desde la perspectiva en la que seguridad de la información analiza estos aspectos, no es más que una acción enmarcada bajo la figura de violación de la privacidad. Hay alternativas menos intrusivas y agresivas para los propósitos de los padres que desean "monitorear" ciertas actividades de sus hijos sin llegar a un estado abusivo. En este sentido considero que la mejor solución no sirve de nada si no está acompañada de educación en cuanto a los peligros que existen en Internet. La cuestión no es espiar a nuestros hijos…

Dejando de lado las cuestiones superficiales de este mecanismo de engaño, el dominio se encuentra alojado en Hosting Solutions International Inc, ubicado en EEUU bajo la dirección IP 69.64.58.50. Al menos tres dominios más se encuentran en esta dirección y todas redireccionan a la misma página.

Cuando se accede a este "servicio", nos encontramos con un menú mediante el cual se gestionan las maniobras de engaño, permitiendo enviar correos electrónicos con mensajes falsos a los principales servicios (reales) de webmail y dos de las más populares redes sociales. Incluso, es posible personalizar los mensajes.

El procedimiento, luego de seleccionar la opción del servicio que se utilizará para darle un nivel coherente de confianza, es tan sencillo como seleccionar una opción entre varias. A modo de ejemplo, veamos una captura de una cuenta de Gmail bombardeada con un ejemplo de cada uno.

Todos ellos contienen en el cuerpo del mensaje, enlaces que direccionan a una página falsa, en este caso de Gmail, que solicita un proceso de autenticación que es parte del engaño. La página es una clonación de la real y lo que busca es robar los datos de autenticación del usuario para ese servicio de webmail. Pero en función de esto, la cuestión es… ¿cómo darse cuenta que es falsa?

Principalmente, chequeando hacia dónde redireccionan los enlaces que se encuentran en el mensaje. Con el solo hecho de pasar el cursor sobre el vínculo, en la barra de tareas aparece la dirección real.

Igualmente, hay que chequear la URL. En este caso, la dirección falsa comienza con http://login.live.1d8gfh35f9h6438d2g6.tumsg.com/accounts/ServiceLogin.php?service...

Mientras que la real comienzo con
https://www.google.com/accounts/ServiceLogin?service...

Además de ser completamente diferente, la falsa no posee el protocolo seguro (https) característico de todos los sitios que requieren autenticación vía web. Si bien este aspecto en particular no garantiza seguridad plena, es un buen hábito chequear su existencia.

Sin embargo, supongamos que el ataque se dirige a un usuario de Hotmail. La dirección real de este es la siguiente:

http://login.live.com/login.srf?wa=wsignin1.0&rpsnv=11&ct=1255052408&rver=6.0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&lc=3082&id=64855&mkt=es-es

En este caso no nos encontramos con "https" y la dirección falsa es muy similar a la real, con lo cual, lo más probable es que un usuario que no entiende mucho del tema, caída en la trampa sin demasiado esfuerzo, sino pregunten… ¿cuántos usuario verifican la dirección?

Ahora, tratemos de encontrar alguna respuesta para las preguntas líneas arriba comentadas (¿serán efectivos en la actualidad?, ¿cuál es el nivel de prevención de los usuarios frente a este tipo de engaños?)

Para obtenerlas se realizó una prueba que consistió básicamente en el envío de correos con mensajes falsos empleando los "servicios" ofrecido por este sitio web, obviamente bajo un estricto sentido ético ya que la intención es sólo investigativa. Además, a menos que se pague un costo mínimo de USD 15, no es posible acceder a las contraseñas.

Lo que deja en evidencia el negocio que se esconde detrás de este sistema de engaño. Además que al mismo tiempo, sus creadores se hacen de una importante base de datos que hasta el momento cuenta con más de 95.000 registros, donde cada uno de esos registros es una víctima.

A nuestros efectos, obtener un dato estadístico del nivel de maduración en cuanto al sentido de prevención en los usuarios, no necesitamos ver contraseñas sino saber cuantos usuarios confian en el mensaje falso.

La muestra consistió en 100 direcciones a las cuales se envió el mismo mensaje que había llegado a mi dirección de correo. De un día al otro, es decir, en menos de 24 horas, de los cien correos enviados, estos fueron los resultados:

Mensajes enviados: 100
Usuario que cayeron en la trampa: 12


Como vemos, un poquito más del 10% de los usuarios que recibieron este correo con el mensaje lo han abierto, y no solo eso, sino que también han confiado en él ofreciendo, sin saberlo, los datos de sus credenciales de acceso a sus cuentas de correo electrónico.

En consecuencia, los ataques triviales de este estilo son más comunes de lo que se cree y cuentan con un nivel de efectividad preocupante, pero es más preocupante aún saber, en cierta forma, que el nivel de madurez en materia de prevención sigue siendo escaso ya que si se potencian estos valores en función de la cantidad de correos de este tipo que cualquier spammer podría enviar por día, la cifra final de víctimas es muy alta.

Información relacionada
Estado de la seguridad según Microsoft
Phishing y "cuentos" en navidad
Phishing para American Express y consejos

Jorge Mieres

Ver más