¡Me intentaron Hackear!

Ya estoy de vuelta de la Sierra de Madrid, y vaya una sorpresa me dió una apuesta chica llamada Carolina Fernandez, cuando activé el 3G de mi móvil en medio la montaña. Esta, se puso en contacto conmigo para compartir enlaces, pero claro... yo no voy regalando mi 3 en PageRank a cualquiera... ¡por muchas tetas que tenga! ¿O sí? =P

Me bastó con ver el mensaje original desde Gmail, para darme cuenta de que el enlace que se escondía detrás de la palabra LINK, no era del todo confiable.

Desde una máquina virtual e instalando la última versión de Google Chrome, copié el enlace y lo pegué directamente sobre la URL. Me llamó la atención que mi nombre de usuario de Gmail, apareciera en la caja de texto como recordado, cuando el navegador acababa de ser instalado.

Así que dando caña a los parámetros, supuse que las codificaciones de los mismos se basaban en base64. Rescatando el contenido que recogía el parámetro “u” de la segunda imagen, vería de que forma introdujeron mi correo electrónico en la plantilla del falso Gmail.

El parámetro “p” recoge un blog de posicionamiento... ¿Serán ellos los graciosos con fin de hacer Black Hat SEO?

Mientras que el parámetro “n”, nos mostraría a mi y a “mi señora”, un mensaje con el que me pasaría el reto personal :O

Todo lo visto en este ataque, se basa inicialmente en el envío de correo masivo SPAM, agregando de una forma automatizada el proceso del Phising, personalizándolo mediante técnicas de ingeniería social, con el objetivo de dar una mayor credibilidad a la hora de caer en la trampa...

Saludos 4n4les! ;)

Otro iframe tocapelotas

Después de un Domingo noche más que intenso, mientras me arrastraba por los suburbios del oscuro Madrid junto a la única persona que es dos veces animal, y no, no es gato ni cobra. No podía retrasarme tanto en publicar algo para mi pequeño grupo de Followers, que atrapados intento no se me escapen corriendo, por algunos temas que posiblemente bochornosos trato de describir.

Hoy vengo a contaros una pequeña anécdota que pensé que podía interesaros, pues hace no mucho tiempo algo apareció por el blog en un pequeño estudio sobre el Spam y las redes organizadas que mueven todo lo referido al phising, robo de credenciales bancarias, intrusión en servidores de terceros... y un sin fin de agentes que se llevan a cabo, para hacer algo que para otros puede resultar tan simple como enviar un mail, de ahí la paranoica de esconder sus movimientos en la red.

No sé cuantos de vosotros tendréis hostin con Arsys, es posiblemente una de las empresas más conocidas en España para alojamiento web. Dicha empresa, utiliza un Webmail con filtrados Spam de serie, a mi parecer realmente pésimos, o bueno, al menos es lo que veo.

En el panel de acceso, recientemente agregaron la posibilidad de acceder con otros estilos más limpios y claros, un poco para estar a la última en aspecto visual. Además, facilitaron la interpretación de HTML en los correos entrantes, así no nos volvemos locos entre tanto código como en la anterior versión. Este puede ser un punto a su contra en lo que ha seguridad se refiere, pues fácilmente nos pueden colar algún código o imágenes con hipervínculos que mediante ingeniería inversa, hagan creer verdades a medias.

Para la demostración entraremos en la versión de siempre, aveces no nos gusta renovarnos ¡sino díganle a mi padre que salga del MS-Dos que me trae loco!

El tema chungo viene cuando en nuestra bandeja de entrada, recibimos un correo similar al siguiente.

La nota del mensaje y el enlace del BBVA me encanta, pues aunque parezca texto puro y duro, no es más que una imagen con un eje de coordenadas en HTML que enlazan a otra web oculta, aprovechándose de un servidor vulnerado, con un subdominio creado para la ocasión, así hacer un poco más creíble el intento de estafa.

El momento en el que culminan con un phising perfecto, es cuando nuestro querido Webmail, no muestra ni tan siquiera la URL que estamos visitando, pues tenemos la web embebida dentro de un Iframe. ¡Así que ayudan involuntariamente en hacer creible el timo!

Una vez ingresas tus datos, dentro tienes opciones para elegir si quieres rellenar con tu NIF, o si te apetece directamente poner los datos de tu tarjeta, al igual que cuando haces una compra por internet, una vez rellenados te reenvían a la original y todos felices.

¿Tendrán algún tipo de recompensa Arsys de parte de los Spamers? ¡Por qué a mi me tenéis frito!

Saludos 4n4les! ;)

La Navidad asusta a los Spammers

Parece que Papá Noel este año curró más bien poco, no porque solo lo haga un día al año y sea mentira, si no porque no llegaron a su buzón tantas cartas basura como muestra la siguiente imagen modificada By 4n0nym0us.

Me pareció bastante inusual, que la dirección del correo en donde trabajo, no hubiese recogido ni tan siquiera un puñetero mail basura en la semana que cogí de vacaciones, casi me sentó mal que ni los Spammers se hubiesen acordado de mi este pasado mes de Diciembre. 

Según un estudio realizado por Segu-info, el número de correos Spam ha sufrido un considerable declive en comparación con datos anteriores, y es que en el mes de Agosto de 2010 se registraron alrededor de 200.000 millones de correo basura frente al pasado mes de Diciembre con tan solo 50.000 millones. En estas fechas se preveía un incremento del Spam debido a todo aquello que se avisó como medidas cautelares en este artículo del 2 de Diciembre. ¿Y el origen de tal disminución? Sigue siendo una incógnita.

Aquí os dejo la gráfica de una empresa local suya, donde aparece notablemente la caída.

Según Karl Leonard, la motivación de quienes están detrás del correo basura es la ganancia económica a lo que añadió un investigador de la empresa de seguridad Websense: "si una campaña no genera los ingresos que esperan, se detienen, reagrupan e intentan algo nuevo".

Posiblemente la tendencia resida sobre las redes sociales ya que este año ha sido su apogeo.

Saludos 4n4les!

Google lanza SPAM en sus búsquedas

¿Alguien no conoce a Google? Probablemente no exista nadie en la faz de la tierra al que no le haya llegado a los oídos alguna vez el buscador más famoso y utilizado de Internet. Un grupo de Hackers se planteó esa cuestión y ya que el gigante es casi impenetrable, se las ingeniaron para crear un nuevo método de envío de Spam a través de las búsquedas.

El grupo organizado conseguía acceso a servidores poco actualizados como suelen ser los “.edu”, mediante exploits y CMS con el que se adueñaban del control de root mediante SSH. Con la shell bajo su control, instalaban un módulo en Apache que conseguía vigilar el tráfico del servidor y enviar a ciertos navegadores enlaces con contenido modificado.

Una empresa de seguridad informática llamada Sucuri, ha desvelado una pequeña lista de las páginas webs afectadas por el malware, además desde esta página podremos chekear otras con el objetivo de encontrar el módulo instalado en algún servidor.

www.jchs.edu
www.jmkac.org
www.legal-library.co.uk
www.linnean.org
www.master-photonics.org
www.menshealthnetwork.org
www.moc.edu
www.mulchblog.com
www.no-fuel.org
www.oecs.org
www.prairiepublic.org
www.projectapproach.org
www.renewable-energy-watch.org
www.savethewildup.org
www.thedigest.com
www.tumenprogram.org
www.uinteramericana.edu
www.umoncton.ca
www.unionsportsmen.org
www.uwest.edu
www.wcwonline.org

Hice la prueba en el buscador poniendo una de estas páginas junto con la palabra “viagra”.

En la imagen vemos como en el primer enlace que muestra el buscador, aparece dicha palabra junto con la auténtica URL, al hacer clic nos aparecerán aleatoriamente contenidos diferentes redireccionandonos a otras páginas web.

Si pinchan en el siguiente enlace, verán como Google les termina enviando a distintos lugares cada vez que lo consultan.

Más de uno se puede imaginar si tales empresas habrán llevado acciones para la contratación de este grupo de hackers teniendo en mente conseguir publicitar y aumentar los clientes en su dominio.

Saludos 4n4les!

Navidades dulces para los informados

Diciembre, sí, ya llegamos y cada día estamos más cerca de ver las luces led iluminando nuestras calles, los niños revoloteando con la nieve espuma de sus sprays urticarios, las promociones, revistas repletas de juguetes, vendedores promoviendo sus productos y sin olvidarnos por otro lado del plato más frío, las estafas.

 

En una fecha tan señalada donde los medios de comunicación se hacen eco para que sus productos lleguen a los hogares de todas las personas, son válidos todo tipo de anuncios, televisión, teléfono, paneles informativos, pancartas, carteles y como no, internet. Donde el aumento de los últimos años en realizar compras Online no ha cesado, es algo de lo más normal que se sumen a la estampida de oportunidades toda clase de engaños de parte de desarrolladores de malware y diferentes ataques informáticos.

· La ingeniería social se ve explotada más que nunca, donde los delincuentes mejoran sus técnicas para convencer a los usuarios con falsos regalos y ventas.

· El spam está a la orden del día en este mes, si ya se avisaron con antelación incrementos en este mismo año, ahora llegarán con más fuerza.

· La proliferación del malware y las botnets también serán riesgos que podremos correr, así que una defensa con un buen antivirus actualizado será crucial.

· Los buscadores, ahora también se unen al ciber-crimen y aunque parezca paranoico, las búsquedas de regalos más repetidas en estos, también ayudan a saber que quieren los usuarios que más tarde serán afectados por alguno de estos timos.

· Ataques XSS y la redirección a webs falsas aprovechándose de la copiada apariencia de las originales (Phising), será una de las más destacadas.

Algo de lo que aún ninguna medida de seguridad está preparada para combatir, es con nuestra mentalidad y es que una buena concienciación de que debemos o no hacer resulta primordial.

· No deberemos de realizar las compras a través de sitios que inspiren poca confianza.

· Buscar el candadito famoso a la izquierda de la URL y comprobar que es firmado por una auténtica entidad certificadora antes de realizar el pago.

· Evitar abrir correos de la bandeja de spam o recibidos, de remitentes desconocidos.

· Bajo ningún concepto ingresar nuestros datos personales en lugares no seguros.

Espero hayan sido buenos este año y reciban muchos regalos desde Oriente, vigilen sus compras Online y no chafen sus navidades.

Saludos 4n4les! ;)

Redes organizadas y Spam: Parte 2

##############################################################
- Redes organizadas y Spam: Parte 1 
- Redes organizadas y Spam: Parte 2
##############################################################

Como comentaba en la primera parte de la entrada, en esta, se investigará de donde proceden dichos correos y cuales son las metodologías que se llevan a cabo, para realizar este tipo de estafas tan habituales.

Si nos dirigimos a las opciones de configuración de nuestro cliente de correo, podremos buscar dependiendo del servicio que utilicemos, una vista más detallada de la que estamos acostumbrados, donde aparecerá la traza de direcciones IP por la que este ha pasado antes de llegar al nuestro.

He preferido tapar algunos de los datos personales, debido al nivel de paranoia con el que tengo configurada mi personalidad ^^

Aparece como recibido por un servidor ESMTP, llamado darkstar.vidia-design.local, desde la IP 94.230.147.116 por el conocido servicio de mensajería Postfix.

Tan solo consultar la dirección sobre el navegador, nos muestra el listado de directorios que esta contiene. Ya nos da una pista razonable de la inseguridad que esta web posee, sabiendo que ni tan siquiera se configuró bien apache, tampoco se preocuparon en tapar las versiones de todos los servicios como se muestra en la parte baja de la imagen, así como sus versiones.

No me hizo falta hacer un escaneo en profundidad a dicha web, para darme cuenta de la posibilidad que existía en que el puerto 25, el utilizado de serie por los servidores SMTP, estaría abierto y con acceso desde usuario anónimo al más puro estilo 4n4l.

 

En esta parte entran en juego como nombré en la anterior entrada, las botnets y es que uno de los fines para los que se puede dar una red de ordenadores robots, no solo son utilizadas para robar credenciales, encadenar ataques de denegación de servicio o llenar nuestras pantallas de David Hasselhoffs, también son útiles a la hora de barrer direcciones IP en busca de servidores SMTP mal configurados.

Al hacer telnet, conectamos con el servidor Postfix de la 94.230.147.116:25, nos dejará meternos hasta la cocina sin ningún tipo de autorización, siendo esta la razón por la que mi bandeja está rebosando de eMails.

¿Hasta que punto debe de ser legal la ausencia de seguridad?

Todo esto fomenta el delito, bueno... ya sé que mi blog puede hacerlo también, pero el que está tocando las pelotas ahora soy yo, así que a mi parecer las consecuencias que pueden acarrear una mala configuración en un servidor, deberían de estar sancionadas siempre y cuando no se haya hecho un mínimo estudio de seguridad básico.

Internet es una calle de vecinos inmensa, si no recoges tu basura, pasa el gato y la revuelve.

¿O estas webs “supuestamente” comprometidas, comparten también intereses monetarios?

Para deleite de los lectores, les dejo un pequeño Script en Bash con el que me pasé unas risas una tarde en la empresa, mandando correos desde mi puesto para asustar con supuestos recortes de personal. No se imaginan la cara de algunos de mis compañeros.

Saludos!

Redes organizadas y Spam: Parte 1

##############################################################
- Redes organizadas y Spam: Parte 1 
- Redes organizadas y Spam: Parte 2
##############################################################
 

La duda es típica para todo curioso que se sienta delante del PC, podemos quedarnos al margen y llamar al técnico, o en cambio, podemos tomar cartas en el asunto y sacar algo más en claro de todo lo que ocurre, desde que le damos al botón de arrancar, hasta que salta la pantalla azul e investigamos, nació en mi la cuestión ¿Por qué tengo el correo hasta el culo de Spam?

Después de tal porno-informática imagen, centrémonos en lo más acogedor, pues a mi lo que realmente me hace feliz, son los regalos con los que me obsequia BBVA diariamente y es que últimamente son incesantes los intentos, pues si lo siguen haciendo, es porque la estafa del Spam+Phising funciona.

Al abrir el correo recibido desactivando la opción de interpretación de código HTML, veremos la composición real del eMail.

En la 4ª línea del código sin interpretación, se puede leer lo siguiente:

<a href=”http://bbvanetoffice.art4linux.org/realbarca.php”>https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html</a>

Quedando de esta manera:

https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html


Dijo un entendido:

"Mi amigo el informático me comentó, que un enlace seguro tiene una S y un candadito."

Claro que lo que tu amigo no sabe, que además de técnicas como estas tan simples, existe la falsificación de certificados, ARP Poisoning, SslStrip o herramientas de uso rápido como Cain.

Esta línea se aprovecha con un toque de ingeniería social para hacer creer al receptor del mensaje que al hacer clic sobre la URL, le dirigirá sobre la que se muestra y no sobre la oculta detrás del HTML. Este método tan simple, se lleva utiliza mucho tiempo atrás para el envío de malware junto con la ofuscación de lo que puede ser un falso JPG a un Script malintencionado.

Al hacer clic sobre el enlace, nos aparecerá una entrada de acceso simulando ser la real de BBVA, donde introduciremos nuestros datos y nos pedirá más tarde las claves de la cuenta.

Suelen aprovecharse de servidores vulnerables para comprometer su seguridad, accediendo al control de los mismos para colgar su web fake como es el caso, simulando ser las originales para su credibilidad ante la víctima, siendo este método más seguro para estos cracker ante cualquier tipo de seguimiento policial.

Estos grupos organizados, son auténticas mafias que dividen su trabajo entre personas con conocimientos informáticos no siempre avanzados pero si superiores a los de cualquier usuario home, sobre pentesting, defacing, carding, programación web e incluso botnets. Como una pequeña cadena de producción, cada quien se reparte su tarea hasta llegar al producto final y la consiguiente repartida de beneficios, casi siempre de carácter monetario.

En este caso, la web comprometida es www.art4linux.org, en la que posiblemente hayan conseguido acceso hasta el Panel de Administración el dominio, para crear el subdominio de bbvanetoffice y montar el fake en esta.

Seguiremos con la segunda para explicar como encuentran servidores SMTP vulnerables, como acceden, como falsifican los remitentes de los correos y consiguen enviarlos a los destinatarios. Todo esto para el próximo día, que hoy es domingo y me apetece ver la película de Facebook que según Oca está de puta madre, a ver si es verdad jaja

Saludos!

¡200 entradas gratis para el Real Madrid - Barcelona!

No era de esperar que mi banco me enviase un correo invitándome a entrar en un sorteo con entradas al Real Madrid - Barcelona, así que con ganas de ser el primero, entré como una bala a la dirección que me facilitaron en el eMail, mientras cogía la bufanda de hincha y los cuernos de Vikingo me apresuré a acceder a mi cuenta del BBVA con mis claves...

Gracias a Vicky el Vikingo nada de esto ha pasado, ¿Por qué nunca creí en él de pequeño? Debe de ser que la imaginativa de los spammers llega más hallá de saber cual es el deporte rey en España y lo que son a mi parecer, los dos mejores equipos de la liga.

En la siguiente entrada a mi Blog, os mostraré detalladamente el proceso de que hacen estos delincuentes informáticos para llegar a vuestros mails y de que vulnerabilidad común se aprovechan para poder enviarlos suplantando el remitente original.

Saludos!