10 pasos que debería dictar el sentido común
Hasta el momento, los emails de phishing (estafas o engaños) siempre me habían parecido muy evidentes, por lo que, a pesar de que esconden cierto peligro (sobre todo para usuarios despistados o no experimentados), no les había prestado más atención.
Sin embargo, ayer me encontré con uno que, por varias causas, me hizo reflexionar. Voy a analizar minuciosamente las dudas que nos pueden surgir, y los pasos que el sentido común nos debería dictar.
El mensaje me llegó por correo, y mostraba el siguiente contenido:
- De: Media Temple Abuse (abuse-support@mediatemple.net)
- Asunto: Phishing Page Complaint on Your MediaTemple (mt) Web Hosting Account
- Responder-a: patrickrigney@ymail.com
Hello,
We receive a complaint about phishing page in your web hosting account. The complaint came from Verisign inc. There is a page in your hosting account that collects personal account details and disguise as legitimate Lloyds TSB Bank PLC. That webpages have been broadly distributed to individuals by a person or entity pretending to be Lloyds TSB Bank PLC.
Please provide me with your hosting username and password so we can delete that phishing page from our server. Just reply this email with the information we needed so we can fix it immediately.
Thank you
(mt) Media Temple, Inc.
Patrick Rigney
Technical Support Manager
8520 National Blvd. Building A
Culver City, CA 90232
we appreciate your rapid response
Para los que tienen dificultad con el inglés, el mensaje me llega desde el abuse (departamento especial de las empresas para tramitar denuncias o posibles abusos en el servicio) de MediaTemple, el servicio de hosting en el que tengo Emezeta blog.
Reconozco que yo, en un principio, al no leer el email completo sino sólo el primer párrafo, me lancé al servidor a comprobarlo todo, preguntándome como podría haberme ocurrido algo así, yo que tanta importancia le doy al spam:
Hemos recibido una queja de Verisign inc., quién nos informa que en su cuenta se ha detectado un fraude y se están recogiendo datos personales de usuarios haciéndose pasar por el banco Lloyds TSB Bank PLC.
Ahora mismo es muy sencillo saber que se trata de un claro email de phishing, dentro de un artículo de seguridad, con un texto introductorio sobre las estafas y el contexto adecuado.
Sin embargo, aseguro que en su momento real, inmerso entre otras tareas y bajo el repentino aviso de que posiblemente haya gente que haya sido engañada y/o estafada por tu culpa indirecta, el tema es muy diferente.
Repasemos lo que puede ocurrir, paso a paso.
1. Apariencia general
En otras ocasiones he mantenido contacto con el soporte de MediaTemple, y la plantilla que usó el phisher es muy similar a la que utilizan en la empresa. La firma y el (mt) característico de MediaTemple, son detalles que los estafadores no suelen cuidar.
Aún, sin haber leído el email completo, el primer vistazo, inconscientemente, da credibilidad si es el mismo formato.
Siempre se debe examinar cuidadosamente los detalles de mensajes como estos, y así asegurarnos de que no sean emails fraudulentos y/o falsos.
2. Credibilidad por terceros
Al igual que muchos mensajes en cadena y hoaxes (cadenas falsas que siguen reenviándose), estos mencionan una entidad conocida para reforzar la credibilidad del mensaje.
Nunca creas ese refuerzo, ya sea Verisign, Microsoft o Chuck Norris. El sentido común dictaría que se contrastase esa información con un enlace o se buscara en Internet.
3. Desviar el mensaje
En nuestro caso, el mensaje viene remitido por Media Temple Abuse (abuse-support@mediatemple.net) lo cuál podría ser perfectamente normal. Sin embargo, nos adjunta que las respuestas se envíen a un tal Patrick Rigney (patrickrigney@ymail.com) con cuenta en Yahoo.
Sospechoso. Sin embargo, algunas compañías realizan este paso para recibir los emails en la cuenta personal (que verifican más frecuentemente) o en un programa de mensajería (Yahoo Messenger), por ejemplo, y actuar lo más rápido posible, por lo que la víctima podría considerarlo algo normal.
No obstante, lo ideal sería que pidan responderlo a una cuenta oficial y enviar también una copia oculta a otro email.
4. Gramática y ortografía
Otro detalle, más sutil, se da en la ortografía o gramática del mensaje. Por lo general, los spammers y phishers suelen descuidar este apartado (o utilizar traductores malos malosos).
En este ejemplo, se ve claramente en la forma de redactar, en la capitalización del asunto (Mayúsculas donde realmente no van) o en el We en minúsculas de la firma.
No obstante, para personas no muy familiarizadas con otros idiomas o que han realizado una lectura rápida y tienen otros asuntos en la cabeza, puede resultar complicado darse cuenta. Intenta tener en cuenta siempre estos puntos.
· · ·
Tras varios minutos mirando logs, ficheros y procesos, y comprobando que todo estaba normal, volví a la ventana donde tenía el mensaje, pensando (desde hacía ya unos instantes) en responderles para pedirles más información sobre la queja. Ahora sí, hice una segunda lectura, leyendo también el segundo párrafo...
Por favor, facilíteme el nombre de usuario y password para que podamos eliminar esas páginas del servidor. Responda este email con la información que necesitamos para solucionarlo inmediatamente.
Ahí, en la segunda parte del email, es donde residía la clave para estar seguros de que se trataba de un engaño...
5. Petición de información sensible
¿Para qué necesita una empresa que tiene todos nuestros datos pedirnos el usuario y contraseña? Un usuario que no conozca la máxima «nunca dar información sensible» podría incluso pensar (aunque nunca se debe pensar así) que las cuentas del servicio son anónimas y privadas, y que los técnicos piden la cuenta de usuario para agilizar el proceso y no tener que buscarlo manualmente.
Error. Y muchos menos, la contraseña. Esa información nunca la pedirá un empleado al cliente, y menos por ese medio. El sentido común dice claramente que los usuarios nunca deben dar sus contraseñas.
En muchas otras ocasiones, el atacante trabaja más este aspecto, incluyendo enlaces que redireccionan a páginas falsas (donde imitaran formularios para recoger datos) o técnicas similares como hijacking o spoofing.
Aunque ya está claro que se trata de un caso de Phishing, sigamos analizando...
6. Presión y urgencia
En el mensaje se juega con la presión y la rapidez. Si la víctima se encuentra con un mensaje así, probablemente se agobie y responda rápidamente (sin pensar) para intentar solucionar urgentemente el problema.
Eso es lo que busca el atacante. Piensa bien las cosas antes de hacerlas.
7. Persona al cargo
El email lo firma un tal Patrick Rigney. Si nos fijamos en el Twitter de Mediatemple, no hay nadie que se dedique al soporte con ese nombre.
Es más, si indagamos un poco, podremos descubrir que Patrick Ridney es un humorista de Los Angeles.
8. Dirección de correo falsa
Este punto lo he dejado para el final, por ser el más técnico. Pero también es de los más importantes que siempre se debe tener presente.
Algunos usuarios creen que se trata de un usuario auténtico porque el remitente es el correcto. Nada más lejos de la realidad. En la actualidad se utiliza mucho el Mail Spoofing, que no es más que utilizar un servidor de correo que se hace pasar por esa dirección, cuándo en realidad no lo es.
Esto es fácil de detectar, mirando las cabeceras (headers) del email:
Return-Path: <seattled@esc155.midphase.com>
X-Originating-IP: [174.36.146.88]
Received: from 127.0.0.1 (EHLO esc155.midphase.com) (174.36.146.88)
Entre varios parámetros, se puede encontrar el de Return-Path o X-Originating-IP, que nos muestra el servidor y cuenta de correo desde donde se envió realmente.
Es más, si accedemos a esa IP desde el navegador, podremos ver que hay un servidor web activo, asumiblemente mal configurado, que la víctima lo está utilizando de «escudo» para ocultarse y enviar desde ahí la información. Así nacen las botnets o se efectuan los famosos DDoS.
Cuando dudes de la autenticidad de un mensaje, comprueba siempre que puedas estos parámetros.
9. Contrasta información vía Google
Otra buena idea es echar un vistazo en Google a ver si alguien ha recibido esa misma información o hay alguien (como yo) que ha hablado del asunto.
En el blog de WiseStartUp, se comenta un caso similar, pero en este caso, respecto a la empresa BlueHost.
10. Avisa a posibles víctimas
Finalmente, si has descubierto que se trata de Phishing, SCAM o algún tipo de fraude similar... ¡Denúncialo!
En la página Whois Domain Tools, puedes introducir la IP 174.36.146.88 y te saldrá información sobre la red donde funciona esa máquina. Entre los datos aparece un email de abuse: abuse@softlayer.com Ahí podrás informar de lo sucedido, para que al menos se tenga constancia de lo ocurrido. Normalmente piden que les adjuntes alguna evidencia (fecha y hora del email y el contenido, por ejemplo).
Es bueno que avises a posibles compañeros que estén en tu misma situación, o al servicio involucrado. ¡Mediatemple lo hizo!