Tienes un mensaje privado…

Hoy en día es bastante común recibir correos electrónicos indicando que alguien, ya sea de nuestros contactos o no, nos ha enviado un mensaje privado. Aunque, lógicamente, es mayor la confianza cuando el destinatario es conocido siempre existe la curiosidad intrínseca del usuario y es en esa confianza y curiosidad en las que reside el éxito de estos ataques.

El siguiente caso de estudio nos permitirá definir las claves necesarias para distinguir entre realidad o ataque. Cuando recibimos un e-mail de este tipo en nuestro buzón de correo, siempre tendremos que hacer clic en un enlace para leer el mensaje que supuestamente nos aguarda. Antes de hacer clic en el mismo es recomendable conocer el destino del mismo, para ello simplemente hacemos clic con el botón derecho del ratón y seleccionamos “Copiar dirección del enlace”. Acto seguido pegamos el contenido en cualquier editor de texto (Word, OpenOffice, bloc de notas…) y analizamos la URL:

http://68.168.30.188/?leer=zucimo&f=origen%40hotmail.com&to=victima%40hotmail.com&n=victima

La primera incongruencia de la URL respecto a un servicio legítimo es la dirección IP. Esta ausencia de dominio ya debería hacernos desconfiar. Además, cualquier servicio de este estilo que se precie utilizaría “https” y esta URL utiliza el protocolo “http”, es decir, la información no se transmitirá de forma cifrada por la red y por tanto, la comunicación no será segura.

Pero, analicemos un poco esa dirección IP. Como posiblemente el lector ya conozca, los nombres de dominio se traducen en direcciones IP a través del servicio de nombres de dominio (DNS) y esta traducción se hace en los dos sentidos. Utilicemos la web http://www.domaintools.com e intentemos obtener el dominio asociado a esta dirección IP.

Captura de pantalla 2013-02-24 a la(s) 23.04.21

Tal y como podemos ver en la imagen esta dirección IP resuelve correctamente para estos tres dominios: livebaylic.org, livebaylic.com y livebaylib.com

Estos dominios tienen cierto parecido a los utilizados por MS Live en Hotmail pero como veremos ahora poco o nada tienen que ver. Utilizaremos el servicio de http://www.netcraft.com y solicitaremos información de alguno de estos nombres de dominio.

Captura de pantalla 2013-02-24 a la(s) 22.40.53

La calificación de riesgo que da NetCraft sobre el dominio es de 9 sobre 10 por lo que la desconfianza del usuario debería aumentar pero con esta desconfianza veamos a donde nos dirige el enlace si hacemos clic. Utilizando nuestra página de origen (en este caso Hotmail) nos muestra una pantalla de login similar a Outlook con nuestro usuario de correo y nos solicita la contraseña. Si recordamos la información de NetCraft, el propietario del segmento de red no era Microsoft por lo que está claro que es una web fraudulenta intentando pasar por el servicio de webmail Outlook. En caso de introducir la contraseña el usuario estará dando sus credenciales y facilitando su suplantación y robo de datos como la libreta de direcciones, lo cual realimenta este tipo de ataque mezcla de SPAM mezcla de Phising. En otras ocasiones, el mismo link derivará en la clásica encuesta que has de rellenar para conseguir cierto premio y que acaba solicitando información personal que acabará siendo utilizada para campañas de mailing o de llamadas comerciales masivas.

Resumiendo, desconfiad de cualquier enlace de este tipo y en general también de aquellos disfrazados en forma de URL corta, muy utilizados en redes de microblogging como por ejemplo Twitter. Recomendamos utilizar servicios como http://urlxray.com/ que nos permiten saber a dónde nos lleva una determinada URL sin necesidad de hacer clic en ella.

Hasta la próxima! 🙂