Phishingoneando por internet

Para esos momentos en los que estás aburrido y no sabes que hacer, puedes darte una vuelta por alguna página de identificación de Phishing (como OpenPhish.com o Phistank.com) y entretenerte con aquellos que tienen localizados. El Phising es la técnica más utilizada para realizar  el robo de información sensible como pueden ser credenciales de usuario, números de tarjetas de crédito, números de teléfono, etc… que utiliza el clonado de sitios legítimos para engañar a los usuarios. Algunos de los tipos de Phishing que existen son los siguientes:

  • Phishing a través de correo electrónico: correos electrónicos enviados con caracter relacionado con organismos públicos u otras entidades que contienen un link que te redirige a la página clonada.
  • Phishing a través de enlaces en páginas web: enlaces en páginas web que te redirigen a la página clonada.
  • Phishing a través de buscadores: los resultados de una búsqueda pueden mostrar enlaces que redirigen a la página clonada.

Intentaremos explicar el segundo tipo de Phishing de forma sencilla a través de la siguiente imagen:

En este caso ficticio, el servidor en el que se aloja el dominio thehackingfactory.com (zona verde) ha sido vulnerado debido a una debilidad del sistema (zona roja) al no tener el servidor actualizado. El atacante, aprovechándose de esto, ha seguido los siguientes pasos:

  1. Creación del directorio googledrive, que va a alojar el Phishing, dentro del directorio themes.
  2. Subida al directorio googledrive el fichero .zip creado con anterioridad
  3. Extracción del contenido del fichero .zip, creándose el directorio www.gmail.com con todos sus ficheros.

Con estos pasos el Phishing ya está desplegado y listo para esperar a sus victimas. Al encontrarse en directorios no indexados, no es posible acceder mediante buscadores. El acceso se realizaría a través de links que el atacante habría creado en otras páginas web.

¿VERDADERO O FALSO?

Vamos a ver unos ejemplos de esta técnica tan elaborada. A continuación se muestran tres imágenes de formularios de autenticación de diferentes páginas. ¿Podrías distinguir cual es Phishing y cual no?:

Phishing BBVA:

Phishing PayPal:

Phishing Gmail:

Todas las imágenes anteriores pertenecen a sitios clonados en los que, a primera vista, no podrías distinguir si son verdaderos o no, con el objetivo de que introduzcas los datos y se los envíes.

¿CÓMO SÉ QUE NO ES PHISHING?

Los Phishing son cada vez más y más difíciles de distinguir a simple vista. Podríamos fijarnos en el nombre del dominio en el que se encuentra la página, ya que la mayoría de las veces no tiene nada que ver con la propia entidad. Pero existen páginas que tienen un nombre muy parecido al de la entidad en sí:

También podríanos fijarnos en que no se está realizando el cifrado de la conexión a través del canal HTTPS, reconocible por el candado verde que aparece en la barra de direcciones:

Aunque, existen casos en los que se emplea un icono de candado falso para hacernos creer que se ha establecido una conexión segura con el sitio web.

La mejor forma de asegurarse de que no es un Phishing es comprobar la información del certificado de la página, que no sea un certificado autofirmado (self-issued certificate) y que no sea conozca una entidad certificadora desconocida (unknown certificate authority). En este caso, información del certificado de Google:

ANALIZANDO PHISHING

Vamos a analizar una página de Phishing que nos hemos encontrado, que aunque no parece ser muy legítima a primera vista, seguro que más de uno caería  en la trampa. La página nos solicita iniciar sesión con cualquiera de las cuentas de las cuentas de correo que se muestran en la pantalla: Gmail, Hotmail, Yahoo, Webmail, Aolmail para acceder a unos ficheros compartidos en la nube:

Si pinchamos en cualquiera de las imágenes de abajo, se abrirá una ventana con un formulario de autenticación formado por los campos dirección de correo y password:

Como hemos comentado anteriomente, al estar ubicado el Phishing en un directorio no indexado, cualquier uso de un buscador es en vano, ya que puede que obtengamos información del propio dominio pero no de la ruta específica donde está alojado el Phishing, como se muestra a continuación:

Verificando los directorios de la URL que da acceso al Phishing, nos encontramos con que en el directorio wp-includes se listan los ficheros del servidor :

De entre todos ellos, nos fijamos en un fichero con extension .zip que puede que sea el utilizado para desplegar el Phishing en el servidor dentro del directorio our_product :

FICHERO .ZIP

Para poder analizarlo un poco más, hemos procedido a descargar el fichero y a extraer su contenido para analizarlo:

Se puede observar que existen varios ficheros .php para cada uno de los proveedores de correo (aol, gmail, hotmail, yahoo), un directorio index_files con las imágenes necesarias para el formulario con el objetivo de dar más validez al Phishing y un fichero index.html que es el que cargará la página al acceder al directorio /wp-includes/our_product .

FICHERO INDEX.HTML

El fichero index.html está formado por varios formularios, específicos para cada proveedor, con los campos dirección de correo y password:

Al pulsar el botón Sign In , los campos serán enviados al fichero gmail.php una vez introducidos los datos.

FICHERO GMAIL.PHP

El fichero gmail.php tiene un contenido muy simple pues su objetivo es recoger la dirección de correo y la password de la víctima y enviarlos mediante correo electrónico. El contenido es el siguiente:

A continuación se detallan los cuadros rojos marcados en la imagen:

  • Primer cuadro: se recoge la dirección IP de la víctima (de la variable de entorno REMOTE_ADDR), la direccion de correo y la password enviada desde el formulario de index.html.
  • Segundo cuadro: arrays para formar la dirección de correo del atacante a la que se enviarán las credenciales capturadas. Esta técnica sirve para que no se encuentren direcciones de correo dentro del fichero.
  • Tercer cuadro: se muestra (ofuscada) la dirección de correo del atacante con dominio @gmail.
  • Cuarto cuadro: se realizan dos envíos de correo:
    • Envío de las credenciales de usuario y dirección IP a la dirección de correo del atacante formada en el tercer cuadro.
    • Envío de las credenciales a otra dirección de correo con dominio @hotmail.com sin saber con que objetivo (podría ser, por ejemplo, un bot que recoge las credenciales y las trate de forma automática para venderlas al mejor postor. Gracias Yeray y Jose Luís).

El último paso, una vez capturadas las credenciales del usuario, es el redireccionamiento del usuario al dominio legítimo drive.google.com , para que inicie sesión como si no hubiera pasado nada:

TÉCNICAS DE PHISHING

Vamos a ver dos técnicas que se utilizan para redireccionar a la víctima, de forma desatendida, a una página de Phishing sin que sospeche nada. Estas técnicas son Tabnabbing y target=”_blank”.

TABNABBING

La técnica del Tabnabbing consiste en cambiar el aspecto de una página visitada que ha perdido el foco (por ejemplo al abrir una nueva pestaña para visitar otra página) con el objetivo de que el usuario crea que la había abierto él y que es legítima. Para verlo de una forma mas clara, vamos a visitar la página http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/ en la que hay una prueba de concepto de esta técnica:

Se observa que es una página normal y corriente de la que nadie sospecharía. Al abrir una nueva pestaña para visitar otra página, se observa como la pestaña anterior cambia el título y el icono favicon.ico poniendo el de Gmail al perder el foco:

Si ahora volvemos a la página de la pestaña que ha cambiado, observamos que aparece el formulario de Gmail, pero realmente es una clonación del sitio legítimo:

TARGET=”_BLANK”

Esta otra técnica, conocida como target=”_blank”, es similar a la anterior técnica de Tabnabbing. A través de un link en una página, se abre una nueva pestaña en la que se carga el nuevo contenido que queremos visitar mientras las pestaña anterior cambia, cargando el Phishing. Para entenderlo mejor, vamos a elaborar los ficheros necesarios para explicar esta técnica (en base a la página https://mathiasbynens.github.io/rel-noopener/ ).

Accedemos a una página en la que se muestra un link para acceder a otro dominio. En este caso, un link para visitar thehackingfactory.com :

Si pinchamos en el link, se abrirá en una nueva pestaña el contenido de la nueva página que queremos visitar, pero la pestaña anterior cambia su estilo, mostrando un icono de DropBox :

Accediendo de nuevo en la primera pestaña, ya no se muestra la página con el link sino que se muestra un formulario de autenticación en el servicio DropBox :

Esperamos que os haya gustado este artículo en el que se intenta ver de forma más clara el tema del Phishing.

Don’t give up, great things take time“.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *