Anatomía de un mail de phising

Estoy harto (como vosotros) de recibir mais en los que bajo una afirmación informática correcta pero sin sentido se nos informa de que el banco %s (sí, aquí va el nombre de un banco o una caja de ahorros) que su servicio ‘informático’ ha detectado que nos hemos conectado al mismo %s desde IPs diferentes, algo lógico con las conexiones de hoy en día… Mejor será que leáis la tontería de mensaje que nos envían. A los informáticos nos parece una tontería, pero seguro que hay más de una persona que pica;

Estimado Cliente,

Según nuestros registros informáticos, hemos detectado recientemente que los accesos a su cuenta a través de Línea Abierta han sido realizados desde diferentes direcciones IP.

Esto seguramente se debe a que la dirección IP de su PC es dinámica y varía constantemente, o debido a que usted ha utilizado más de un PC para acceder a su cuenta.

Debido a este suceso y en cumplimiento con la legislación vigente, hemos actualizado nuestros sistemas informáticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectúe una verificación de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del %date. De no ser así, transcurrida esta fecha, el sistema informático automatizado de %banco->ServiciOnline.GetNombre() suspenderá su cuenta indefinidamente.

Desde ya le agradecemos su cooperación en este aspecto.

Para ingresar a su cuenta a través de %banco->ServiciOnline.GetNombre() y verificar la actividad de la misma, debe hacer clic sobre el siguiente enlace:

Enlace eliminado para que ninguno sea tonto para picar;

Apreciamos su ayuda y compresión, pues trabajamos juntos para que “%banco->GetNombre()” sea cada día un lugar mas seguro para hacer negocios.

Departamento de Seguridad
“%banco->GetNombre()”

Por favor no responda a este correo electrónico, esto es un correo automatizado solo para notificaciones.

%banco->GetDireccion();

Todos los derechos reservados. “

En fin, estos mails falsos se detectan fácilmente porque nuestro amigo (el cliente de correo) -Mozilla Thunderbird en mi caso- nos avisa “Éste mail puede ser fraudulento” al igual que Gmail, el que no avisa creo que es Hotmail. Si el cliente de correo electrónico falla, podemos detectarlos fácilmente verificando la ortografía, gramática y vocabulario empleados en éste tipo de correos.

Analizando éste mensaje genérico que es el que me envían cada dos por tres, encontramos:

Esto seguramente se debe a que la dirección IP de su PC es dinámica y varía constantemente, o debido a que usted ha utilizado más de un PC para acceder a su cuenta.”

En España se suele gastar otra forma como “esto posiblemente sea porque %motivo, o porque %otro_motivo” “

para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectúe una verificación de su actividad reciente.”

El brindar está en desuso en España, está claro que el mail lo escribió un latinoamericano, o un buen traductor de castellano que tradujo el inglés “Bring” por brindar, ya que aquí se gasta Ofrecer. Otra perla es ‘ingrese’ que aquí no se usa, sino introduzca o ponga (ya de modo coloquial). ¿Desde cuando ingresamos en el tren? Ingresar en el banco, ¿no es esa acción de poner dinero en una cuenta? … Todo mail de banco español en el que aparezca la palabra “ingresar” debería ser automáticamente rechazado o ignorado, pues sabemos que esa palabra sólo la utilizan al otro lado del océano. El necesitaremos es incorrecto, aquí se dice “necesitamos”, porque necesitaremos es una primera persona que en éste caso incluye al banco, y al propio usuario, ¿nos montamos una fiesta con los del banco cada vez que ingresamos por la puerta y nos brindan un sillón para la espera de la larga cola?

Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta”

¿Procedimientos? Yo creía que aquí se gastaba otra palabra, no obstante, es correcta, pero el “requieren” es una traducción directa del “require” inglés, hecha al otro lado del atlántico, y/o por un traductor de castellano, aquí se dice “necesitar” , el “usted” es otra muestra de texto escrito o traducido al castellano en geolecto latinoamericano, porque aquí no se suele poner “usted”, sino que se entiende por el contexto a quien va dirigida. Aquí diríamos “Las reglas de seguridad necesitan que {verifique/certifique} la …

“… suspenderá su cuenta indefinidamente”

¿Las cuentas suspenden convocatorias de examen? Esto es otra traducción directa de “suspend” o “block” inglés, incorrecta claro, porque en España se gasta “cerrar”/”cancelar” .

” Departamento de Seguridad
“%banco->GetNombre()”

¿Departamento de seguridad? ¿No quedamos en que era de informática? En fin, en los bancos, los departamentos de seguridad deben ser aquellos que se encargan de custodiar el dinero y estar apostados en las puertas por si se produce algún altercado -los vulgarmente llamados seguratas- .

Todos los derechos reservados. “

¿A caso el banco me va a cobrar un canon por copia privada de éste mail?

Desconfiad de todos los emails del banco, id físicamente allí, desconfiad de las llamadas con número oculto procedentes del banco; y si os necesitan que os lo pidan en las oficinas físicas. NUNCA abráis un enlace de un mail procedente de un banco u otro tipo de entidad sin antes haber consultado el código fuente del email, y/o que el enlace es correcto, éste es el punto más fuerte del phising, el ir redirigido a cierta página de los ‘phisingueros’ … que es un clon de la original, pero con otra funcionalidad diferente, susceptible a ser atacada mediante DDOS o SQL Injection, además, NUNCA llevan el certificado digital que exige el SSL y la conexión ‘segura’ HTTPS de Apache o IIS.

A pesar de los avances antiphising, y los de firma digital aún hay gente picando a todas horas. Este mail era el caso de uno que enviaron a todos los alumnos de la UJI que viene con asunto de “NOTIFICACION URGENTE”, sin ningún tipo de prioridad, es un mail html en el que solo varía el logotipo de la caja o banco, el enlace que lleva incorporado el corredo (que según su texto alternativo es el correcto de la entidad, y según el href es otro muy diferente) y el nombre de los servicios online de la misma, por lo que me temo que estamos detrás de algún generador de Phising automático, o un script que envía mails a toda una lista.

¿Creeis que como ciudadano moderno e informático debería denunciar el caso a las autorirades competentes (Brigada de Delitos Informáticos de la Guardia Civil) ?

Un análisis de las cabeceras y del html éste mail que nos han enviado:

Received: from plesk.inter.net.uk (2.83.5d45.static.theplanet.com
	[69.93.131.2]) by dns2.uji.es (Postfix) with ESMTP id 571351B0688
	for <unmaildelauji>; Fri,  9 Nov 2007 00:04:19 +0100 (CET)
Received: (qmail 1781 invoked by uid 10079); 8 Nov 2007 22:28:15 +0000
Received: from 127.0.0.1 by plesk.novatechnix.com (envelope-from
	<correoseguro@lacaixa.es>, uid 10039) with qmail-scanner-2.01st
	(perlscan: 2.01st.  Clear:RC:1(127.0.0.1):.
	Processed in 0.022914 secs); 08 Nov 2007 22:28:15 -0000"
Date: 8 Nov 2007 22:28:15 +0000

Ummm, postfix y dirección estática, vamos bien encaminados.

“Content-type: text/html; charset=iso-8859-1”

Bien, ISO-Latin-1  y cabecera html del mail correcta, pero

“<meta http-equiv=”Content-Type” content=”text/html; charset=windows-1252″>”

esta cabecera meta se contradice, y probablemente indica que el mensaje fue escrito en un WindowsMe o inferior, pues el XP no gasta esa codificación de caracteres, además sabemos que Windows98 llevaba (creo) una versión ‘light’ del Frontpage (vaya mierda de editor web ‘güisigüig’ por cierto).

“<font color=”#000000″ size=”2″>”

¡Anda! aún no han descubierto el CSS, esto me pone más aún sobre la pista de que el Frontpage (o Hotmetal 4.0<) fueron los utilizados para generar el código html

“<a href=”https://portal.lacaixa.es/GPeticiones;WebLogicSession=BCkmX27QMyP61&#8243;;><table><tr><td><a href=”http://www.direccion_falsa.com&#8221;;><font size=”2″>https://portal.lacaixa.es/GPeticiones;WebLogicSession=BCkmX27QMyP61</font></td></tr></table></a>&#8221;

Una URL suele contener ‘;’ si está usando el servidor Tomcat o algo de Java, o parecido, pero la anidación de las etiquetas está hecha de forma para que los parsers ‘maluchos’ de html no detecten el error, y permitan hacer creer al mismo que la primera es la dirección correcta, mientras que cuando clickan sobre el enlace se abre la dirección falsa. Además, en éste mail han sido tan chapuceros como para evitar el atributo ‘alt’ y encima lo han puesto con font ¿CSS dónde andas? .

“</body></html> <div style=”visibility:hidden; color:white”>194b7a90da4afc00e952f9dd9055f475</div>”

¿Pero no habíamos quedado que el documento html terminaba ahí? ¿Por que hay un div fuera del documento?

El siguiente paso es hacer un whois para que nos aparezcan los datos del titular del dominio, y allá vamos (omitiré los datos por ser privados, y para no meterme yo en un lío)

“andreu@luar:~$ whois fragartists.com”

Salida omitida, pero comento que el titular aparece en alemania con correos de la república checa.  Haced vosotros el whois y comprobad a quien pertenece el dominio.

En fin, varias imágenes valen más que todo éste rollete;

falsaweb.png

¡Qué listo es mi firefox! (no traduzco el mensaje porque ya lo he explicado arriba)

falsomail.png
Lo que suelen contar éste tipo de mails …

Saludos

Deixa un comentari

Fill in your details below or click an icon to log in:

WordPress.com Logo

Esteu comentant fent servir el compte WordPress.com. Log Out / Canvia )

Twitter picture

Esteu comentant fent servir el compte Twitter. Log Out / Canvia )

Facebook photo

Esteu comentant fent servir el compte Facebook. Log Out / Canvia )

Google+ photo

Esteu comentant fent servir el compte Google+. Log Out / Canvia )

Connecting to %s

%d bloggers like this: