Analizando un Phishing por SMS que suplanta al Banco Santander

En la película de Harry Potter escuchamos en varias ocasiones el término “muggle”, usado para referirse a personas sin habilidades mágicas. Sin embargo, la situación nos obliga a añadir un nuevo significado a las personas sin facultades informáticas.

Es posible que tengamos que cambiar el eslogan, pretendemos que el sentido común se instaure a todos por igual. Lo manifestamos y casi gritamos en los congresos de concienciación. Pero los usuarios siguen cayendo y haciendo click. ¿Qué falla?

Llevo tiempo centrándome no solo en invocar al sentido común en los oyentes, sino también en crear herramientas informáticas que puedan ayudar a los usuarios a identificar si acceder a un determinado enlace o descargar un archivo puede ser peligroso. En definitiva, a ayudar a los usuarios e investigadores a estar más protegidos y facilitar encontrar a los autores de dichos crímenes.

Buscar números de teléfonos y crear inteligencia a través de fuentes abiertas (OSINT) teniendo como único dato inicial el teléfono ha sido complicado en España, hasta ahora. En otros países como en EU o China disponen de aplicaciones que exponen bastante información. Sin embargo, con Dante’s Gates se pretende cambiar esa situación y poder facilitar a usuarios, detectives, peritos y cuerpos de seguridad de una herramienta que les ayude a encontrar información para sus tomas de decisiones.

¿Qué tenemos de un SMS para investigar?

Existen fundamentalmente 2 líneas de investigación:

  1. El número de teléfono. Sin embargo, es un dato poco fiable ya que cualquier persona con un mínimo de conocimiento puede usar plataformas que suplanten el nº de TLFN de otras personas. Existen muchas, por ejemplo, Spoofbox es la más conocida.
  2. El enlace o link que nos envían para que entremos a una web. Este es el punto más interesante ya que, podemos averiguar quizás más información.

Empecemos con un caso real:

Recibimos el SMS que se muestra en nuestra pantalla del móvil así:

Al recibirlo nos llama rápidamente la atención que nosotros no somos clientes de Santander. ¿Cómo es posible que hayamos recibido un SMS si no somos clientes? Fácil, en eso consiste el Phishing. Es probabilidad pura, mandan el mismo SMS a todo el mundo y si cae el 1% están sacando un buen beneficio.

Sin embargo, si somos clientes, vemos que no está bien escrito, “activar ahora t” y nos manda a un enlace acortado. Dos indicios suficientes para sospechar, aunque fuéramos clientes.

Ejecutamos nuestro script “BuscadorTelefono.py” de Dante’s Gates Minimal Version e insertamos el número de teléfono:

Los detalles son todo. En la lista de comentarios de hace más de 3 años podemos ver:

Aunque, como hemo hemos comentado antes, es posible que el nº de teléfono haya sido suplantado (spoofeado). Nos llama la anteción que tenga ya un recorrido de engaños. Nos parece también raro que todos los comentarios empiezan con números “634”.

Ahora cambiamos la línea de investigación hacía el enlace que nos sugiere el SMS que hagamos click. Para ello, debemos tener cuidado. Para más seguridad debemos usar una VM, poniendo una capa de protección y dificultando que nos pueda infectar la máquina anfitrión.Además, nos conectaremos con una VPN desde diferentes países para ver si responde de diferentes formas.

Analizando el código fuente de la web encontramos que el actión llama a un archivo PHP. Además, con un crawler podemos ver que disponen de diferentes pantallas

En el momento de hacer este artículo parece que el proveedor de hosting ha quitado las diferentes páginas, aunque queda reflejado como ha sido usado en varias campañas de phishing.

 

Inicialmente, parece que la web utiliza bien las palabras en castellano. También, los parámetros que aparecen en la URL pueden ser usados por que el cibercriminal pueda tracear a las víctimas.

El sitio donde tiene el alojamiento contratado es “1001diamond.ru” y su ubicación: Starovatytinskiy pr, 17, fl1, 5-5, 129281, Moscow, RUSSIAN FEDERATION. Además, es compartido con decenas de otras páginas, en su mayoría con dominios “.ru”.

Usando un fuzzer podemos generar o scrapear la web buscando la tecnología que usan y sus versiones: PHP 7.1.33, jquery, Dojo y Nginx 1.16.1.

De igual manera que existen decenas de páginas rusas alojadas en el mismo servidor, el dominio smrtp.ru contiene unos cuantos de subdominios:

Todas las webs están caídas, excepto una. Curiosamente la que en su descripción, que está cacheada por Google, nos abre una nueva línea de investigación bastante interesante. Sin embargo, al usar Dante’s Gates Mobile para analizar el email y traducir el texto; encontramos que pertenece a la empresa víctima del ataque informático. Ya tiene cara y apellidos. Es más, el email aparece en varias ocasiones en proyectos del gobierno ruso:

Existen dos línes de investigación más:

  1. Investigar las posibles vulnerabilidades, entrar en el servidor y proceder hacer un Triage para obtener los del sistema. Modo forense sin permiso. Evidentemente, esto no lo hemos hecho.
  2. Realizar una llamada telefónica para descartar que no sea el autor/a de los hechos.

Conclusiones

PRIMERO.- Tras realizar el análisis encontramos claras pruebas de que consiste en una estafa con el objetivo de robar cuentas bancarias, en concreto del Banco Santander. El modo de operar de los cibercriminales es usando una técnica de Phishing con SMS, pero se ha demostrado que usan otras también por email o llamadas telefónicas.

SEGUNDO.- El enlace que nos aparece en el SMS nos redirecciona hacia una web rusa de una empresa que ha sido víctima de una ataque informático.

TERCERO.- Encontramos en varias webs donde usuarios manifiestan posibles estafas desde teléfonos móviles que, anteriormente (hace 3 años) el mismo número fue usado para otros engaños.

Trackback URL: https://quantika14.com/2020/05/13/identificar-un-phishing-sms-banco-santander/trackback/