Detección de campañas de Phishing en tiempos del Covid-19

Los ciberdelincuentes no descansan. Y menos en estos momentos, en los que la pandemia ocasionada por el Covid-19 tiene sumida a la población mundial en un absoluto desconcierto.

El miedo y el desconocimiento son un caldo de cultivo perfecto para la propagación de bulos y la proliferación de ciberataques. De lo que atañe a los bulos hablaremos en otra ocasión, ya que bien merece su propio post, aunque las soluciones que andamos desarrollando desde Quantika14 para ambos pasa por el mismo cauce.

Pero hoy nos vamos a centrar en los ciberataques y cómo podemos prevenirlos, seamos o no profesionales de la ciberseguridad.

Nuestro compañero Juan Ortega ha realizado una investigación a raíz de la recepción de un correo electrónico aparentemente oficial. Esta es una táctica que, si bien no es nueva, se ha multiplicado, debido a los factores mencionados anteriormente: el miedo y el desconocimiento.

A continuación podéis leer sus resultados:

 

Investigación

Recientemente hemos identificado una nueva campaña de phishing para intentar robar a los usuarios sus credenciales de correo. En esta ocasión está orientada a los usuarios de IONOS, específicamente a los empresarios. No obstante, según la investigación realizada podría estar enfocada a un mayor número de proveedores (OVH, Arsys, etc…).

El “gancho” es una falsa denuncia realizada por parte de uno de sus empleados. En esta se alega que la empresa incumple las normativas impuestas por el COVID-19.

El funcionamiento es sencillo:

1. La víctima recibe un email en su buzón con el siguiente contenido:

En ningún momento nombran a la empresa ni al denunciante (alegando motivos de protección de la privacidad y anonimato de este).
Como puede apreciarse el email contiene el logotipo del gobierno de España ydiversos avisos legales para incrementar la credibilidad de éste:

 

*Importante: el email consigue saltar los filtros de seguridad de los proveedores, llegando a bandeja de entrada y pareciendo un mensaje legítimo. Según la investigación realizada, tanto el cuerpo del email como la técnica empleada para el envío desde un MTA localizado en EEUU, evitan que salten los filtros antispam de sistemas como SpamAssassin y otros.
Particularmente puede apreciarse una sencilla técnica para evitar que el dominio sea identificado por estas aplicaciones de seguridad. El dominio está  separado por espacios, no siendo identificado como URL por los sistemas:

 

En la siguiente cabecera, puede apreciarse como el Sender es autenticado por el sistema antispam de IONOS. No estando asociado este al email del remitente (FROM):

2. Dado que no contiene ningún enlace (incluso las imágenes vienen en B64 dentro del propio HTML del mensaje), no puede detectarse enlaces maliciosos o asociados a IPs en listas negras. La técnica es muy simple, un fichero HTML adjunto, el cual es una simulación de un formulario suministrador por IONOS para analizar la denuncia (ficticia) recibida. Ni siquiera pueden descargarse los PDF, son
únicamente imágenes para añadir nuevamente mayor credibilidad.

 

Análisis del servidor donde se recogerían las credenciales de las víctimas

El dominio empleado para recopilar las credenciales simula ser de la propia empresa IONOS, empleando para ello como subdominio “ionos.es”:

Por ello, estamos analizando las DNS asociadas al dominio padre

                           profesional-correo.email

para identificar nuevos subdominios asociados a otros proveedores de correo.

Tras revisar la información asociada al dominio, pudimos encontrar que fue registrado en febrero, precisamente cuando comenzó la alerta por COVID-19. El dato interesante es que este dominio lleva casi 2 meses sin haber sido identificado como malicioso. El porqué de esto, seguramente sea que no ha sido usado hasta el momento en campañas de phishing. Por lo tanto, los ciberatacantes habrían esperado el momento exacto para lanzar la campaña.

 

Cómo podría un usuario identificar este tipo de engaños

En la empresa Quantika14, especialistas en Ciberseguridad, hemos desarrollado una aplicación para móvil (Android/IOS) que alertará al usuario de la reputación de un email. De esta forma, aunque los filtros de seguridad de los servidores no hayan identificado el contenido engañoso, el usuario podrá estar al tanto de este:

 

 

 

 

 

 

 

A la detección de emails maliciosos sumamos el trabajo que estamos haciendo en Quantika14 para desarrollar nuevas funcionalidades.

Trabajamos en dar soluciones integrales a los problemas de nuestros clientes, así que tu opinión nos interesa: ¿qué otras funcionalidades te gustaría que tuviese Dante’s Gates? ¡Déjanos tus ideas por cualquiera de nuestras redes sociales y te leemos!

Trackback URL: https://quantika14.com/2020/04/15/deteccion-de-campanas-de-phishing-en-tiempos-del-covid-19/trackback/