jueves, 4 de julio de 2019

Realizar un ataque de Phishing 100% efectivo [Parte I]

Reconozco que el título del artículo es llamativo para que la gente entre, lo admito, pero tiene su explicación. Muchas veces tratamos de explicarle a la gente cómo protegerse de ataques de Phishings, pero cuando lo hacemos tendemos a dar recomendaciones que realmente no son útiles y que incluso hace que los atacantes, con poco esfuerzo, puedan elaborar casi a la perfección sus ataques sin que la gente sepa si han caído en una estafa o no.


Como ejemplo, voy a tomar un artículo que elaboraron en Panda Security en el cual hacían recomendaciones para detectar y evitar los ataques de Phishings, no obstante, son medidas que me gustaría que analizásemos aquí para ver si de verdad pueden ayudar o no a la gente que tenga menos conocimientos en la materia.

Recomendación 1. [MAL]

Figura 1

La primera recomendación es un poco dudosa. Esto de entrada. Es dudosa porque realmente no te dan consejos sobre cómo identificar estos casos de Phishing. Pueden utilizar nombres de la compañía o similares a la compañía, pero no implica necesariamente que sea un correo de Phishing. Lo de llegan a webs que, visualmente son iguales o casi iguales tampoco ayuda ¿Cómo identificas entonces una web real de una maliciosa? No se está diciendo y eso, para la gente, es un problema. El último punto te dice que, como gancho, utilizan un regalo o que has perdido tu propia cuenta, pero claro, esto tampoco ayuda.

Figura 2




Este es un correo original de Google donde se me alerta que se ha cambiado la contraseña de mi cuenta y, en pequeño se puede leer:

"Si no lo has hecho tú, deberías recuperar la cuenta."

Y el enlace que nos deja es una web también similar a la que entendemos que es la original de Google. Aquí tiene sentido porque es la web original de Google, pero podría no serla y, con estos consejos podríamos caer igualmente. La primera recomendación ya decimos que está mal. No ayuda.

Recomendación 2 [ 50-50 ]


Tengo dudas con esta segunda recomendación puesto que, aunque si es verdad que la recomendación final de "si tienes dudas llama directamente a tu banco" es bastante buena, la afirmación inicial de "nunca tu banco te va a pedir que insertes tus datos personales por correo" denota que no se sabe el protocolo de actuación de organismos bancarios, grandes empresas y cualquier organismo en general.



Este es un correo que recibí una vez de mi banco. No me pide mis datos, es cierto, pero si bajamos un poco veremos que nos dicen dónde podemos hacer operaciones.


Ahí ya tenemos enlaces, y estos enlaces se pueden hacer de una forma muy sencilla:

<a href="sitiomalicioso.com">bbva.es</a>

De esta forma tan sencilla podemos hacer creer al usuario que, haciendo click en ese enlace, los van a redirigir a la web del BBVA, cuando realmente no es así. En ese sitio de phishing, es donde les pediran los datos personales para robárselos.

Como tengo esta duda, voy a dar 0.5 a que es una buena medida y otro 0.5 a que es una mala.


Recomendación 3 [BUENA]


Esta medida es bastante buena. No obstante, no sirve de mucho si estamos en un ataque de MiTM con ARP Spoofing y DNS Spoofing donde se cambien los servidores DNS. No se trataría de un ataque muy complicado pero la podemos dar por buena y además, restar el 0.5 punto negativo del anterior y sumarlo como positivo.

De momento:

Medidas buenas: 2
Medidas malas: 1

Recomendación 4 [ 50-50 ]
Entramos en lo mismo que en la recomendación 2. Es decir, está bastante bien que se recomiende tener un sistema actualizado (software libre sobre todo, ya que el software privativo es dar con una mano lo que quitas con la otra) y los navegadores actualizados es una buena medida, pero lo del sentido común puede ser confuso. Por ejemplo, puede que para una persona sea de sentido común utilizar un antivirus que no se actualice en tiempo real. Aunque también digo que los antivirus en los phishings via web, poco tienen que hacer. En fin 0.5 para cada uno.

Recomendación 5 [MALA]


Esta medida, aunque parezca buena, pues es necesario viajar bajo conexiones SSL, no es suficiente para evitar los Phishings ¿Por qué? A día de hoy es muy sencillo tener, en tu sitio web, un certificado SSL ¿Os suena el artículo que escribí sobre lo fácil que era implementar SSL en vuestros dominios? HTTPs no es sinónimo de seguridad o sitio confiable. Esta es una confusión muy típica, pero lo único que significa es que, en tránsito, los mensajes van cifrados.

Que un dominio tenga SSL no quiere decir que sea confiable, ya que si, por ejemplo, tiene certificado con Let's Encrypt, no hay nadie que lo haya certificado más allá de Let's Encrypt, algo que se hace simplemente instalando este servicio y lanzando el certbot. Podría llevar a equívocos si creo un sitio de Phishing y añado Let's Encrypt.

De momento, tras analizar la mitad de las medidas propuestas por Panda Security tenemos:

Medidas buenas: 2.5
Medidas malas:2.5


Tenemos un empate. Y esto es una mala noticia para el usuario, el cuál seguirá confuso.


Recomendación 6 [BUENA]

Esta medida, en general, es bastante buena, puesto que es más fácil detectar si has sido víctima de un Phishing si realizas una monitorización constante, pero ojo, algunos peros:

1. Esto no sirve evitar un Phishing, sino si has sido víctima.
2. No todos los phishings van contra entidades bancarias. Sí la mayoría, pero tus redes sociales también son objetivos y esto es más complicado si no realiza ninguna publicación rara y el atacante se limita a visualizar mensajes privados.

Recomendación 7 [MALA]



Se dan cuenta de lo que he comentado anteriormente y rectifican. No obstante no aportan ninguna recomendación ¿Cómo un usuario puede determinar si alguien los ha hackeado mediante un Phishing y el atacante se limita a visualizar sus mensajes pero sin publicar nada para que no salten las sospechas? NO hay recomendación, no hay información útil para los usuarios y usuarias.

Recomendación 8 [MALA]


Esta medida empieza bien porque advierte que los atacantes, a día de hoy saben idiomas, pero pocas líneas después vuelve con la idea antigua de que suelen venir en otros idiomas o simulando nuestro idioma con un mal castellano. Demos por buena esta afirmación de manera temporal ¿Por qué no se le da al usuario una recomendación sobre cómo actuar si reciben un correo escrito en su idioma y correctamente? Ante estos casos que, cada día son más frecuntes (y lo digo porque últimamente trabajo mucho con los phishings), los usuarios se quedarán bloqueados.

 Recomendación 9 [ 50-50...siendo buenos]



Con esta medida he sido compasivo y la doy como 0.5 para cada opción. Puede estar bien lo de "ante la duda, elimina" ¿Pero y si no es tu banco (lo vuelven a reducir todo a una cuestión bancaria) y es Google alertándote de que han accedido a tu cuenta y que, lo más inteligente sería cambiar la contraseña? Lo que ocurriría es que podrías estar permitiendo de forma consciente que un atacante siga en tus sistemas por la duda ¿Por qué no se aclaran las dudas al usuario? ¿Por qué antes se decía que "ante la duda, llama a tu banco y ahora no hacen lo mismo". Por esto en los tipos tests, las incorrectas restan.

Recomendación 10 [Bien...PERO MAL, MUY MAL]


El título prometía...pero han tirado a la propia propaganda de su web olvidando al usuario. Está bien informarse ¡¿Pero tanto costaba decir que copiasen y pegasen las URLs que reciban en VirusTotal (o crearse su "propio VT"), que buscasen esas URLs en PhishTank o que preguntasen a la compañía o a entidades como Eleven Paths o Hispasec?! ¡¿Tanto costaba?! Nada más que por esto de autorecomendarse, la considero como una mala medida, puesto que puede que a Panda se le pase algún caso de malware (es normal, hay muchos), pero podría recomendar algo más comunitario y participativo, pero no lo han hecho.

El balance, tras estas 10 recomendaciones es de:

Medidas buenas:4
Medidas malas:6

Aún siendo permisivos en algunas recomendaciones un poco dudosas, el balance se queda así, en porcentajes es fácil de medir.



Es decir, el 60% de las recomendaciones (aún siendo permisivos) son medidas malas para el usuario o que no le dan mucha información para combatir activamente contra estos ataques. Y esto es peligroso tratándose de PandaSecurity, una empresa que debería aportar, como mínimo, un 90% de recomendaciones buenas.

Si aún no se evidencia el problema, elaboraré una serie de artículos (este es la parte I) donde se evidencie. Concretamente, entenderemos estas recomendaciones (las 10) como buenas y elaboraremos un pequeño algoritmo y pondremos varios casos reales para ver cómo actuaría un usuario si considerase estas 10 medidas como buenas.

¿Hackeamos el Mundo?




No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...