domingo, febrero 16, 2020

Un test con 8 e-mails para ver si eres capaz de detectar los ataques de #phishing

A día de hoy, más del 90% de los ataques a empresas que sufren robo de datos con herramientas APT, robo de identidades, o extorsiones mediante malware, sigue teniendo una fase de entrada por el correo electrónico. Sigue siendo esa autopista de entrada que llega hasta la red de la empresa por medio de un buzón público que se conoce. Esto también le pasa a los particulares que ven como sus equipos son cifrados por un ransomware tras haber recibido un mensaje de e-mail que no debieron abrir.

Figura 1: Un test con 8 e-mails para ver si eres capaz de detectar los ataques de phishing

Nosotros hemos estudiado mucho estos ataques y soluciones de defensa durante muchos años, y en el artículo de "El e-mail ha muerto. ¡Larga vida al e-mail!" hablé en detalle de todos los problemas que puede acarrear el uso del e-mail para contactar con un Internet desconocido cuando además es el identificador de tus servicios en Internet. Ese fue uno de los motivos que nos llevaron en 0xWord a crear la plataforma MyPublicInbox de la que os he hablado varias veces, y que utilizo yo como forma de conectarme con todo Internet. ¿Quieres contactar con Chema Alonso? Perfecto, pero hazlo vía mi buzón público en MyPublicInbox.


Figura 2: Singularity Tech Day: MyPublicInbox

Pero aún así, a pesar de todas las mitigaciones de las que hablaba en el artículo de "El e-mail ha muerto. ¡Larga vida al e-mail!", el phishing sigue siendo un problema profundo en empresas y particulares. Y cuando se empieza a conocer más o menos cómo hacen los ataques las personas, hay que adaptarse a nuevas amenazas que llegan por e-mail, como los ataques Spear APPs to steal Oauth- tokens de los que os hablamos en Sappo. Una técnica muy peligrosa, que ya empiezan a tomarse en serio en los proveedores de identidad.

Figura 3: Demo de SAPPO para atacar empresas por e-mail

Pues bien, os cuento todo esto, porque hay un sencillo test de 8 e-mails que ha publicado el equipo de seguridad de Google que me ha gustado hacerlo, y quiero compartirlo con vosotros. Se trata de eso, solo de 8 mensajes de e-mail que recibes en tu bandeja y debes decidir si son legítimos o no, y luego te explica los motivos por los que sí lo son y por los que no  lo son.

Figura 4: Uno de los tests de ataques de phishing por e-mail

El primero es bastante sencillo, ya que utiliza un link a una URL simulando ser un documento, lo que puede ser un ataque de phishing de credenciales en el servicio web enlazado o un "Watering-Hole" para atacarte con un exploit-kit en un servidor web hackeado. Fácil de detectar.

Figura 5: Un mensaje de alguien que conoces pero desde otra dirección y con un PDF adjunto

Después van apareciendo otros tipos de ataques con subdominios controlados haciendo el típico google.com.security.hi.co.support o similares. U otros que simulan direcciones de remitentes de sitios web oficiales y conocidos. Al final, son solo 8 pruebas que no son extremandamente difíciles si tienes experiencia, pero... que alguno se puede comer.

Figura 6: Se puede pasar sin dificultad si estás al día.

También hay alguno legítimo, y hay que acertarlos que no son fáciles, como el caso de un mensaje de una plataforma muy conocida que utiliza un dominio para el envío de mensajes de correo electrónico distinto al dominio que tiene para ofrecer su servicio principal.

Figura 7: Es un e-mail legítimo pero ... ¿lo es la app a la que le das permiso?

Me ha gustado especialmente que a los ataques de SAPPO para robar los tokens OAuth mediante apps maliciosas creadas en el Identity Provider de Google, son tratados en este test de un forma muy clara. Sí, es un e-mail legítimo - como decíamos en la charla de SAPPO -, pero es igual de peligroso porque el ataque no está en el engaño de phishing si no en conseguir que le des permisos sobre tu cuentea de e-mail completa.

Figura 8: Así es. Podría ser un robo de tokens OAuth en toda regla aún siendo legítimo.

Y por último, trata también el caso de la persona que "parece" que ha cambiado de dirección de e-mail, tal y como se ve en la Figura 5. Es decir, es la misma persona con la que hablas habitualmente. Los mensajes son de conversaciones con sentido, pero la dirección de e-mail ha cambiado. Y esto tiene pinta de ser más un ataque de phishing que no. Yo lo he marcado así porque además venía con un PDF que puede tener un exploit y ya son dos cosas de las que fiarse, y abría que descargar sin abrir ese PDF, escanearlo, y aún así...

Figura 9: Una dirección diferente y un PDF adjunto... malo

Pero lo cierto es que hay gente que configura exactamente igual la cuenta y simplemente cambia la dirección de e-mail (porque usa varias cuentas para diferentes cosas), y Gmail ha metido una alerta que puedes encontrarte en tu buzón que avisa de esto mismo.

Figura 10: Alerta real en Gmail cuando se cambia la dirección

Si tienes 10 minutos, hazlo. Merece la pena, y envíaselo a familiares y amigos para que se den cuenta de lo difícil que puede ser a veces encontrar la diferencia entre un correo electrónico legítimo y otro que no lo es y que puede ser un grabe problema para su seguridad personal y/o la de su empresa.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


1 comentario:

DZero dijo...

Buen test Chema, 8 correctas de 8, aunque la última pregunta de conceder acceso a trip, en la realidad no concedo ningún tipo de permisos de ese tipo.

Saludos cordiales

Entrada destacada

Hacking Avanzado en el Red Team con Empire (& iBombShell) de @0xWord

Con el comienzo de año hemos sacado el primer libro de 0xWord para todos aquellos que quieran aprender tácticas profesionales de pentestin...

Entradas populares