domingo, febrero 19, 2012

Paypal cambia su política AntiSpam y el fraude lo explota

Mientras intentaba luchar contra mi bandeja de entrada de correo electrónico para dar respuesta al mayor número de mensajes, me di cuenta de que echaba de menos uno que estaba esperando. En un proceso rutinario decidí ir a la Bandeja de Spam, un sitio al que no suelo visitar prácticamente porque lo que me sobran son mensajes de correo electrónico. Allí siempre suelo encontrar las estafas de siempre, phishing, viagra, nigerianos, adjuntos con exploits en ficheros html, excel, pdf o swf, etc...

Figura 1: Phishing de PayPal con exploit HTML

Lo que me llamó la atención fue encontrarme con un volumen grande de mensajes de Phishing de Paypal enviados con diferentes formatos, lo que denotaba que estaban siendo enviados por grupos de cibercriminales distintos, pues tras leer el libro sobre el mundo del Fraude Online me quedó claro que si pueden simplificar el trabajo lo harán, y maquetar distintos formatos de correo electrónico para la misma estafa no hace más que levantar sospechas.

Figura 2: Phishing de Paypal, modelo 2

Los mensajes habían llegado en un breve espacio de tiempo, por lo que se ve que están trabajando duro con ello. Lo primero fue buscar a ver si estaban utilizando algún servidor vulnerado para tomar control de ellos, pero al revisar las direcciones IP de origen de los mensajes, en ellas no había ningún servicio que hubieran explotado, como pasa en tantas ocasiones como en el caso de los phishers de Apple Store o los  phishers de Facebook.

Figura 3: Phishing de Paypal, modelo 3

Al buscar algo de info de estas direcciones IP en Robtex, y no tener ningún dato de ellas, queda claro que son equipos domésticos infectados por alguna botnet, lo que generó la siguiente pregunta en mi mente. ¿Cómo es posible que un mensaje falso de Paypal enviado desde un equipo infectado en mi botnet haya entrado ni tan siquiera en mi Bandeja de spam?

Figura 4: Phishing de PayPal, modelo 4

La pregunta me vino recordando a Juliano Rizzo (@julianor) explicando en la Ekoparty del año pasado que para hacer la demo de BEAST habían utilizado a Paypal.com porque hacían todo lo demás bien. Y es que, para explicar los filtros antispam, yo siempre ponía como ejemplo a Paypal que usaba SPF, SenderID, Domainkeys y DKIM todo configurado al máximo, como se puede ver en estas imágenes que tomé en post sobre los filtros antispam.

Figura 5: Política SPF1, SPF2 y Domainkeys de Paypal tomada en Julio de 2009
Figura 6: Política Domainkeys y DKIM tomada en Enero de 2011

Algo había tenido que cambiar, o mi Exchange Server se hubiera cargado los correos sin dejarlos ni acercarse a una bandeja de entrada, así que pasé a revisar de nuevo las políticas antispam de Paypal.com para ver que se ha cambiado la política SPF, eliminando SP2 y bajando el nivel de criticidad de los correos no enviados desde sus servidores al poner una política ~all en lugar de la antigua -all. Esto ha tenido como consecuencia que lleguen hasta mi buzón, aunque sea como spam.

Figura 6: Política SPF de Paypal. Solo SPFv1 y con Ebay incluido

Las políticas DomainKeys y DKIM siguen como estaban, pero además se ha incluido a Ebay como servidores autorizados para enviar correos de Paypal.

Figura 7: Política Domainkeys
Figura 8: Política DKIM

Supongo que Paypal ha tomado esta decisión porque debía afectar a alguno de los sistemas que haya implementado, pero si en mi caso ha llegado a la Bandeja de spam, es probable que en otros haya conseguido llegar a la bandeja de entrada, por lo que seguro que los amigos de las estafas lo agradecerán.

Saludos Malignos!

4 comentarios:

SpamLoco dijo...

Y a todo esto se le suma que algunos de sus correos reales parecen phishing de tantos enlaces que tienen, hay que leerlos 3 veces por las dudas xD

Tom dijo...

Cabe destacar que PayPal brinda una direccion de correo a donde FWD esos email phishing. Esta disponible en https://www.paypal.com/ar/cgi-bin/webscr?cmd=xpt/Marketing/securitycenter/antiphishing/PPPhishingReport-outside

Salirdeinternet.com dijo...

Muy bueno

Anónimo dijo...

Si recibís uno, debéis reenviarlo a: spoof@paypal.com

Entradas populares