viernes, 20 de julio de 2018

Un Phishing de Paypal cutre, pero con HTTPS

Hace unos días recibí un correo de Phishing de Paypal. No cai porque estaba muy mal montado, pero sí que hubo un detalle que me sorprendió. Cuidó un detalle peculiar y que, de tenerlo un poco mejor montado, lo mismo más de una persona caería


Era de noche, casi las 1 de la madrugada y yo me estaba metiendo ya en la cama porque estaba cansado. De repente, suena mi teléfono móvil porque recibo un mensaje de correo. Ese sonido está presente varias veces a lo largo de un día, por lo que estoy acostumbrado y cuando puedo, lo reviso. En ese momento, podía revisarlo,  cuando vi en la notificación "Your Paypal account has been limited", me senté en la cama-estaba tumbado ya- y dije "WTF?!"-.


Me sorprendió porque no tengo asociada mi cuenta de ProtonMail a Paypal, por lo que ya sospeché un poco. Cuando me centré en el mensaje, ya sí que vislumbraba un poco que podía tratarse de un Phishing, más que nada, porque me fijé en quién lo enviaba y el correo no podía ser más sospechoso.


Visité el dominio y vi que no existía, por lo que tiré de Archive.org y vi que en el 2017, ese dominio ya marcaba un 404.


Volví al mensaje y me di cuenta que habían puesto un enlace dentro de un botón con la clase <a href> en HTML. Pulsé para ver a dónde me llevaba.


Antes de nada me aseguré de comprobar cuál era el dominio real de Paypal por si me encontraba algo raro. Vi que iba bien y que seguí online. Me fijé en cualquier detalle aunque fuese insignificante del dominio y volví al enlace al que me había llevado tras bulsar en ese botón al que ni un border-radius le ha añadido.


Antes de nada me fijé en que tenía en la URL un /wp/wp-content y dije "¡coño, esto es un Wordpress!" así que tiré hacías atrás en la URL y quité el redirect.php del enlace original que es https://richardmalmed.com/wp/wp-content/themes/twentysixteen/redirect.php. Este redirect, como su propio nombre indica, me lleva a la web de Phishing de Paypal. 

Al quitar el redirect.php me llevó a este listing que muestro en la captura anterior. Yo ya me empezaba a reír de que, si en teoría se estaba haciendo pasar por Paypal, tuviese este fallo tan tonto que es de un descuido que soluciona de una forma tan fácil como dando permisos a la carpeta y restringiendo el acceso a este directorio.



Una vez que vi esto, eché una ojeada por cada archivo y poco más. Tras esto, decidí ir de nuevo a la web de Phishing para ver cómo la había montado, y la verdad es que un poco cutre. El "PayPal Página Secure" la mitad en inglés y la otra mitad en castellano y con una fuente Arial en gris, un <br> y un "Ingrese a su cuenta" con un Arial con <b> y un formulario que imagino que metería en un <table> que contiene un cuadro de texto para introducir el correo electrónico y otro campo para la contraseña.

Se nota que ha metido el formulario en un <table> porque hasta el enlace-que no es enlace, es sólo texto con fuente en azul- para recuperar tu contraseña, ocupa todo el largo que ocupan los cuadros de texto y contraseña.

Sobre el botón al que, en este caso, sí le ha metido un border-radius, mejor ni hablamos de que se deje parte del texto como no visible. Esos detalles hay que cuidarlos hombre.

En lo que no sé si os habéis fijado, es en que corre bajo HTTPS ¡Utiliza el puerto 443! Esto es curioso ya que, a pesar no de tener un nombre de dominio que ni se le parezca al de Paypal, mucha gente puede caer nada más que por el ver el candado verde y el HTTPS y creer que por ir bajo HTTPS ya es segura la web.

Me resulta curioso porque hubiese podido contratar un dominio muy similar al de Paypal y que ya encima con SSL, la gente sí que caería mucho más. Yo he probado a buscar y, utilizando la técnica de generación de nombres de Txus di Fellation [Mägo de Oz], le he puesto la diéresis en la primera "a" de Paypal y había dominios gratuitos.



Por 10 euros puedes contratar un dominio muy parecido al de Paypal y que así la gente caiga mucho más. Si a eso le añades que hagas como ha hecho el atacante e introduzca la URL dentro de un botón que hagas con HTML, tendrías una probabilidad de éxito muy grande.


Por supuesto ya me levanté de la cama y busqué todo esto en el ordenador. Traté de entrar a la web que me envió el atacante y me marcaba Firefox que el sitio era engañoso. Firefox ha hecho su trabajo.


Ojito con los antivirus, que muchos no lo detectan como malware. A esta web le falta profesionalizarla un poco más y puede que marque un 0/68. Cuidado con esto.




Ya para terminar, al ser un Wordpress, busqué si tenía un phpinfo y ahí estaba, tenía toda la información de la web. A esto lo llamo yo "viniste a trollear y te fuiste trolleado".

Está visto que la profesión va por dentro y que a pesar de querer dormirme, una cosa tan tonta como un correo de Phishing me despertó la curiosidad -nunca mejor dicho- y estuve enredando un buen rato. Si esto no es ser profesional, yo ya no sé qué es serlo.

¿Hackeamos el  Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...