miércoles, 6 de diciembre de 2017

Facturas falsas en el mail del trabajo

Ni en vísperas de puente –para quien lo tenga- los malos descansan. Claro, que en este caso se supone que los malos no son de aquí…
¿Qué por qué reflexiono así? Pues porque esta mañana, dentro de las tareas “cotidianas”, he estado atendiendo al correo electrónico, y me he encontrado con uno, ya abierto (#OMG) y que ¡por supuesto! nadie había abierto… aunque fulano y mengano han estado “fuera”.

Ya de entrada no pinta bien, pero como no trae adjuntos el servidor ha tragado y me la ha dejado en la bandeja de entrada. Algo es algo.
Pero empieza el mosqueo: 
  • ¿Existe ese hotel? Sí, existe. Y es un hotel de lujo… Ya vamos mal.
  • ¿una factura? Si es de un hotel de lujo seguro que no es para mí… ni para nadie del trabajo.
  • ¿el dominio del remitente del correo distinto del dominio de la web donde está "disponible" la factura? Chirría, salvo que seamos tan ingenuos al pensar que hay quien trabaja desde casa y con su dirección de correo particular
  • ¿Clic para ver los detalles de la factura y pagar? No hago clic ni de coña.
Pues empecemos con un cierto orden a ver con que me quieren sorprender (podría haber sido un vale-regalo en lugar de una factura, leñe) por lo que comenzamos llevándonos la dirección de correo del remitente a esa página web que deberíamos visitar de tanto en tanto: https://haveibeenpwned.com/

Nos dirán si una dirección de correo electrónico ha salido publicada en alguna lista de correos a resultas de algún “hackeo”… como es el caso.

Aquí vemos como la dirección de correo de nuestro buen Markus ha sido obtenida de, al menos, dos servicios distintos, y como de alguno de ellos se han servido los malos para hacer “credential stuffing”: reutilizar cuenta de correo y contraseña en otros servicios online por si hubieran sido reutilizados tal cual (os suena eso ¿verdad?)
Pues con esto podríamos suponer que el buen Markus, cuyo dominio es .ch, o sea, Suiza, no es culpable más que de inconsciencia… si así fuera, que tampoco es seguro. Algo de culpa sí tiene, pero no de remitir este correo que viene de su supuesta cuenta, supuestamente suiza (.ch) para pagar una factura en una dirección web polaca (.pl) de un hotel de lujo en Bulgaria…
Algo habrá que hacer. Pues vamos a volver a nuestro (en este caso) Windows Live Mail para ver si nos arroja un poco de claridad. Recuerdo que NO hemos hecho clic en el enlace en ningún momento… Donde sí haremos clic pero con el botón derecho del ratón será sobre el correo, y en el menú contextual que sale seleccionamos “Propiedades”, pestaña “Detalles” y botón “Origen del mensaje”. Vamos a mirar “lo que no se ve”…
Y ya vemos cosas raras (antes de emborronarlas, claro). En este caso parece que efectivamente el correo viene de la cuenta de Markus, por lo que es de suponer que es una cuenta “colectiva” y que él no tiene idea de para qué se está usando. En fin…
Una vez verificado de esa manera el origen vamos a comprobar a dónde nos quieren llevar, para lo que copiamos la dirección web del “lovebaltic” y la pegamos en el buscador de VirusTotal…
 

 
Fácil ¿no?, y el resultado es este:



¡¡No hay bicho!! Mola. Esa dirección web no tiene bicho pero… ¿os habéis dado cuenta de que la dirección tenía algo así como “…/Xerox//New-…” ¡¡Una doble /!!

¿Se habrán confundido al escribirla? Noop. Nos vamos a ver el último análisis en detalle…

Y vemos como hay 0/66 detecciones… pero de la URL ha desaparecido una de las barras… ¡¡y nos proponen ir al fichero descargado!!
Pero ¿de dónde se ha descargado ese fichero? Si no teníamos adjunto alguno y la URL parecía eso, sólo una dirección web. ¿Será una de esas “landing pages” que llaman y que emplean los malos para hacernos “regalos”? Tiene toda la pinta, así que vamos a ver qué nos cuenta VirusTotal ya que se ha “encontrado” un fichero y lo ha descargado, para lo que haremos clic en la pestaña de “Información adicional”.

Y esta es la prueba definitiva: quieren que nos hagamos cargo de la factura “…44895.doc” cuando la nuestra era la “…79910” Obviamente se trata de un error y esa factura no es para mí, así que sigo SIN hacer clic para descargar y abrir esa “factura”, que de hacerlo lo más fácil es que me cueste un disgusto.
Pero un disgusto “gordo”: 4/59 detecciones. Troyano, para Windows, vía Office… Y recientito, de hoy mismo.
Lanzados como estamos, podemos curiosear un poco la IP donde “vive” esa página web, a ver que nos encontramos por ahí y si nos sirve para confirmar que ese correo que nos llegó es un Phishing “de manual”…


Pues va a ser que sí, que no termina de tener una buena reputación esa IP… ni otras cuantas de las que están dentro del rango. Eso podría indicar que el proveedor de hosting no pone cuidado en el contenido de lo que aloja… o sí.


Pero eso, es ya otra historia que le toca desvelar, si quieren, a aquellos que saben más que yo, que no es tan difícil.

Espero que el post haya estado entretenido, ameno de leer e instructivo… ¡¡y que borréis los correos parecidos que os lleguen a partir de ahora!!

¡Tened mucho cuidado ahí fuera!

miércoles, 25 de octubre de 2017

Infectado sin ver porno ¿te lo puedes creer?

“Eso es mentira” sería la respuesta inmediata que daríamos a esa pregunta, y no dudando respecto a que se haya infectado el dispositivo sino a la segunda parte. Somos así de retorcidos: “cree el ladrón…”
Pero desafortunadamente sí es posible que nos pase por el mero hecho de acceder a una página web. El último ejemplo lo tenemos con #BadRabbit, un ransomware que está haciendo sus estragos allá por Rusia y Ucrania principalmente; pero que no tardará mucho en llegarnos, bien sea tal cual o con adaptaciones “locales”.
Pero esto ¿cómo puede pasar?
Con el elevado uso de las Redes Sociales y las aplicaciones Web hay cada vez un mayor número de usuarios de perfil “despreocupado”, por ser suaves, lo que eleva el potencial número de clientes y dispara las probabilidades de éxito de la infección.
Y sí, es cierto que no basta sólo con que los usuarios sean unos despreocupados, no; los malos también hacen su parte, cada vez mejor: dan un excelente servicio de atención al cliente.
El cliente “necesita” ver con urgencia ese video que le ha llegado vía enlace que le manda un conocido por correo electrónico… ¡y el reproductor no está actualizado! Menos mal que “los informáticos” se lo curran y piensan en todo, y me ofrecen descargar la actualización (en este caso la de FlashPlayer). Por supuesto la descargo, instalo y… ¡veo el vídeo! Que al final no era para darse tanta prisa, pero eso no lo sabía antes de verlo.
Claro, que tampoco sabía que no sólo iba a descargar una ¿actualización? sino algo más que ha llegado para quedarse. Y para traer amigos.
Esos amigos, amigotes más bien, tienen nombre: exploit kit. Se instala y hace un escaneo completo del sistema para recabar una serie de datos: sistema operativo, aplicaciones, estado de las actualizaciones… Un chequeo exhaustivo y en profundidad cuyos resultados van a parar a manos de los malotes, quienes se encargarán de analizarlos en busca de agujeros de seguridad que les van a brindar una puerta abierta y ruta directa a la administración de nuestro dispositivo, con lo que ello conlleva.
Una vez abierta la puerta por el exploit, éste “hace un pedido”: Oye, C&C, mándanos el payload "X" que es el que peta la aplicación "Y" que en este equipo está sin parchear y lo hace vulnerable.
El C&C, en función de la misión que tengan previsto encomendarle a la máquina infectada, obediente (recordad que es un servicio de atención al cliente de primera) manda bien un programita de control remoto que se instalará y no nos enteraremos (para convertir el ordenador en otro más de una red de zombies que activar cuando quieran), bien ese otro que se va a encargar de cifrar todos los archivos de datos (texto, imágenes…) que encuentre para pedir el rescate correspondiente. Por supuesto, en BitCoins.
Vaaale. Esto nos ha pasado por abrir un correo electrónico de un conocido que venía con un link (malicioso el), pero hemos comenzado hablando de “visitar páginas web”, y un correo electrónico no lo es… ¿o sí? Otro día lo discutimos.
El proceso de infectarnos por el mero hecho de visitar una página web “legítima” difiere un poco respecto al de hacerlo por medio de un correo electrónico, si bien comparten resultado final.
Al lío. Y para ello comenzamos con un poco de teoría básica, muy elemental.
¿sabemos qué es un navegador de Internet? Sí, el “explorer” ese del ordenador, o el “Chrome” del smartphone o el mozilla ese que dicen que es el mejor… Bueno, no vamos mal, pero ¿sabemos qué hace? Aparte de tenernos enganchados cienes de horas lo que hacen es “interpretar” el contenido de un fichero que contiene datos, instrucciones y alguna otra cosita más tal que todo ello junto resulta ser una página web: leen ese “lo-que-sea.html”, lo interpretan y luego nos muestran parte de su contenido en la pantalla del dispositivo. Sí, parte, porque hay otras partes que el navegado lee, interpreta y NO muestra ni nos dice si ha hecho algo o no, porque esas partes contienen unas instrucciones, unas órdenes, que ejecuta y cuyo resultado no tiene por qué aparecer en la pantalla.
Ese código que viene escrito dentro del de la página web puede ser del tipo PHP, que se ejecutará en el servidor desde el que se ha descargado la página web y hará lo que nuestro navegador le haya “pedido”; o puede ser del tipo JavaScript, que es nuestro navegador, nuestro equipo quien lo interpreta y ejecuta lo solicitado. En cualquier caso, nuestro ordenador, tablet, móvil… será debidamente escaneado y los datos considerados importantes serán exportados (exfiltrados que dirían los técnicos) y guardados para un posible uso posterior. A partir de aquí, nuestro dispositivo, nuestros datos les pertenecen, y harán con ello cuanto les apetezca.
Te has pasado dos pueblos, Pedro: ¿cómo es posible que el administrador de una página web no controle el código que sube? Bueno, ya sabéis que hay muchos que somos “apañaos”, o que tenemos “amigos informáticos” o, incluso, contratamos informáticos que se anuncian en farolas y semáforos y te hacen una página web por casi nada al tiempo que te proveen de Internet gratis... De estos últimos hay que huir. Si necesitas una página web para tener presencia en Internet búscate un buen profesional (@JFS_1969, por ejemplo), y pagas lo que vale hacerla y mantenerla… ¡sin publicidad!
Porque esa publicidad que alquilamos para tener “colgada gratis” la página es otra forma de infectar ordenadores por el mero hecho de que la página sea mostrada (interpretada, ejecutada) por el navegador en pantalla.
¿Cómo? A grosso modo, esos anuncios que se mueven, esas imágenes que cambian… no son “simplemente” fotos -salvo las del diario para magos que leen Harry Potter y compañía- sino que llevan “incorporadas” unas instrucciones que hacen que salgan en carrousel, que se oscurezcan, que ejecuten código en nuestro ordenador -una vez más- sin que nos enteremos… El formato de imágenes SVG da mucho juego ¿verdad @RaulRenales?
Con el tema de la publicidad en las páginas web hay un riesgo, y es que los “huecos” tal vez los gestione el webmaster, pero la publicidad está “subcontratada”, delegada. ¡Menudo coñazo echarse a la calle para buscar quien page! De eso que se encargue otro. Esto no significa que subcontratar el servicio o que todos los anuncios subcontratados sean malos, por supuesto que no; pero que los malotes tienen paciencia y comienzan colocando anuncios legítimos y haciéndose un nombre para después “torcer” sus intenciones cuando por fin consiguen acceso a huecos de publicidad en páginas “interesantes” bien por volumen de visitas bien por su público objetivo, es un hecho. Y, claro está, el código dañino no lo dejan ahí por los siglos de los siglos sino por periodos cortos de tiempo para que no de tiempo a identificar la fuente. Ya nos encargaremos nosotros -nuestro ordenador zombie- de hacer el trabajo de diseminar la infección ¡que se nos da de maravilla!
Y esto ¿tiene solución?¿hay alguna forma de mitigarlo?
Solución, mientras haya malotes, no hay. Pero sí está en nuestra mano mitigar sus efectos. Y pasa por hacer lo que tantas y tantas veces hemos oído de tantas fuentes: tener el software actualizado, soluciones de seguridad -que hay a porrillo- y la fundamental: pensar antes de hacer clic, antes de facilitar datos personales “sin importancia” alegremente en cualquier sitio. Con estas tres simples reglas tendremos muchas probabilidades de no ser parte de la estadística.
Así que la próxima vez que te digan “se me ha infectado el ordenador pero no es por ver porno” puedes creer a tu contertulio, porque nosotros tampoco vemos porno y nos hemos infectado ¿verdad?

domingo, 6 de agosto de 2017

¿Cuántos amigos tienes?

Internet acerca a la gente pero aleja a las personas. Seguro que esta frase, lapidaria, la hemos oido muchas veces referida a esa ¿bien o mal? llamada adicción a Internet. Y hasta podríamos estar de acuerdo con esa afirmación que, no obstante, nos suena rara, con ese sentido contrapuesto de acercar-alejar, gente-persona...
¿Alguna vez os habéis parado a pensar más detenidamente en ello?

lunes, 15 de mayo de 2017

Qué es y cómo ha llegado el ransomware WannaCry


Nota: este NO es un artículo técnico sino una explicación para usuarios básicos de qué y cómo ha podido haber una infección de malware tan extendida y con tanta repercusión mediática. Los artículos técnicos que he consultado para ilustrarme están al final de la entrada (y merece mucho la pena leerlos).

El pasado viernes, a eso de media mañana, el informático de la Sala se acerca y me dice: “Echa un ojo a las noticias: hay una infección “gorda” ahí fuera”; pero se quedó en eso, ya que la carga de faena -y una feliz celebración a recién-papás lo impidieron.
Tres de la tarde, saliendo del trabajo y ya con cobertura la cuenta de Twitter y, especialmente las de Telegram, estallaban a mensajes: algo inusual estaba pasando. Vamos, como que decían que Telefónica, Iberdrola y alguna otra empresa grande, incluso extranjeras, se “habían caido” por un ataque informático. Las orejas tiesas ¡era algo grande de verdad!
El viaje de vuelta a casa en tren, aún a pesar de haber dormido muy poco la noche anterior lo hice, contrariamente a mi costumbre, totalmente despierto y conectado, viendo cómo bajaba alarmantemente el niveĺ de la batería del móvil; pero no podía, no quería desconectar… estaba enganchado al devenir de la infección que se prometía mundial.

¿Qué pasó?

miércoles, 4 de enero de 2017

Malvertising: la infección silenciosa

Lleva esta entrada en "borrador" tanto tiempo que pensé que nunca llegaría a terminarla, pero en dos días he recibido el empujón que necesitaba; es más, han sido dos los empujones...
-Edito: han sido tres, y el tercero es el "morbo" que despierta el saber cuáles serán el último y el primer anuncio del año, con campanadas entre ambos...-

domingo, 4 de diciembre de 2016

De lo divino, lo humano... e Internet

O desvaríos de una noche de sábado. Me explico.
El domingo pasado con ocasión de asistir a un acto religioso cogí a la entrada de la Iglesia un papel impreso (A4 plegado en plan folleto -flyer que dirían los publicistas) en el que venía el guión de la misa, con  textos y  dibujos.
Como no puedo tener un papel en las manos y no leerlo es fácil imaginar lo que empecé a hacer en "cero-coma". Me enteré que era el primer domingo de Adviento, y la "frase del día" era: Estad en vela para estar preparados.

martes, 15 de noviembre de 2016

HoneyCon2016

Guadalajara, 11 y 12 de noviembre de 2016
“Mucha gente”, mucha buena gente en el campus de la UNED.
Y comienza la II HoneyCON. Rompe el hielo…