El sábado pasado recibí un correo electrónico a mi cuenta de trabajo en Eleven Paths. Mi sorpresa fue que Apple me indicaba que yo había puesto como cuenta de correo electrónico de recuperación a un tal sharkyl3@gmail.com. Esto llamó, y mucho mi atención, y leí atentamente. Me doy cuenta que en ningún lado se indica nada de mí, ni mi nombre, ni mi cuenta con la que tengo un Apple ID, ni nada, pero el correo parece tan real, que hace dudar. Decido mirar cabeceras y observo que el correo que me lo envía es orders@tunes.co.uk, y aquí mis sospechas cada vez son mayores, no, no parece Apple, pero me pregunto: ¿Es solo un phishing más?
Figura 1: Correo electrónico recibido |
Mirando el código fuente del correo electrónico puedo observar un dominio que llama mi atención. La URL http://rescue-email.apple.koalabox.com.au/apple/.
Figura 2: URL del phishing |
Esto si que me hace sospechar de que esto no es normal, y decido entrar al sitio web a través de una máquina virtual. El sitio carga lentamente y la sorpresa es que es el típico sitio de Apple de verificación de cuenta, en perfecto español, aunque existen algunos rastros de palabras en inglés. Como se puede visualizar en la imagen, el sitio web es una buena réplica del origina y muchos de los usuarios que acceden al sitio podrían caer en la trampa.
Figura 3: Phishing de verificación de Apple ID |
Antes de probar a enviar texto en el usuario y contraseña, pienso en ver a través de un Whois a quién pertenece ese dominio, ya que según parece son una empresa, al menos según su web del dominio raíz, koalabox.com.au. Entonces, ¿Estarán siendo víctimas de algún delincuente que se ha apoderado del servidor? ¿Serán conscientes de esto?
Tras realizar el Whois se obtiene la siguiente información: la fecha de modificación es reciente, parece ser una empresa, se obtiene un nombre de contacto, una persona llamada Jesse Emia, se obtienen los DNS del dominio, etcétera. Todo parece en orden, ¿Entonces? ¿Por qué existe ese phishing?
Figura 4: Whois koalabox.com.au |
Cuando accedo a través del navegador Mozilla Firefox puedo ver que el navegador lo cataloga o lo tiene catalogado como un sitio que es una falsificación de otra web. Igual sucede en otros navegadors como Google Chrome. Esto es algo que ya sabíamos, pero ver que el navegador lo reconoce así es algo bueno, ya que mucha gente será avisada, antes de introducir datos en este phishing. Nosotros queremos seguir investigando este phishing y para ello decidimos seguir jugando con él, y ver qué acciones tiene la web cuando se introducen credenciales.
Figura 5: Mozilla Firefox avisa del phishing |
Al final decido utilizar ZAProxy para poder visualizar el tráfico que se envía entre el navegador y el servidor dónde se encuentra el phishing. La sorpresa viene cuando después del recurso index.php que es la página principal del phishing nos encontramos con qué los datos son enviados a login.php y después se muestra un formulario solicitando los datos del usuario, nombre, apellidos e... información bancaria. Lo que más sorprende es el perfecto castellano.
Figura 6: Información extra de la verificación de la cuenta |
Algo curioso son el envío de datos al servidor del phishing, y los ficheros .js que éste devuelve. Podemos ver algunos como jquery.payment.js y cardcheck.js que podríamos analizar en mayor detalle con más tiempo de análisis sobre el sitio.
Figura 7: Peticiones y respuestas con el servidor del phishing |
Desde Seguridad Apple recomendamos tener cuidado con los correos electrónicos y con esta notificación en la que se nos indica que hemos configurado una cuenta de recuperación distinta a la nuestra y que llama la atención del usuario con mucha facilidad. El nivel de detalle del phishing es muy bueno, por lo que muchos usuarios de Apple podrían caer en él, tener cuidado y navegar con sentido común.
Excelente explicación. Me apunto el ZAProxy.
ResponderEliminarExcelente, es un asco el phishing. Creo haber recibido un email similar.
ResponderEliminar