Practica1.3 Phising y otras estafas

PHISING Y OTRAS ESTAFAS

Cómo funciona el phishing y sus diferentes tipos

INDICE

1.- PARTE 1.1 PAG 2-4

2.- PARTE 1.2 PAG 5

3.- PARTE 1.3 PAG 5-10

4.- EJERCICIO EXTRA PAG 10-14

5.- CONCLUSION PAG 11

6.- BIBLIOGRAFIA PAG 11

PARTE 1.1

Noticia 1

https://www.bleepingcomputer.com/news/security/hotel-hackers-redirect-guests-to-fake-bookingcom-to-steal-cards/

En esta noticia se habla sobre un tipo de phising en el que se hacen pasar por la pagina web booking.com

Believable phishing message delivered through legitimate booking platform

Al clickar en este enlace the ejecuta un script de javascript en tu maquina . Tambien comenta que este ejecutable te hace diferentes análisis de seguridad para ver si la victima es susceptible de caer en la estafa o no para seguir con ella.

Fake Booking.com payment page

Como podemos ver simula a la perfeccion la pagina de booking para robarte todo tipo de información , bancaria , etc…

Noticia 2

https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-attack-pushes-darkgate-malware/

En esta noticia se habla como se esta atacando a las empresas mediante mensajes de phising a través del Microsoft teams para instalar un malware llamado Darkgate Loader. En dichos mensajes te ponían un link para que descargases un archivo llamado “Cambio de horario en vacaciones”

Phishing message sent to targets

Si te descargas el zip y abres un pdf que hay en su interior the ejecuta un malware que primero te comprueba si tienes un antivirus llamado Sophos y si no es asi , te ejecuta comandos en el Shell que te ejecuta y te deja un programa en memoria.

Este programa que te ejecuta llamado DarkGate , por lo visto se inicio en 2017 y lo utilizaba un grupo bastante pequeño de cibercriminales. Dicho malware es bastante potente ya que te permite hacer desde keylogging hasta minería.

El autor de dicho malware intento venderlo a 10 usuarios por el precio de 100k$ al año

Forum post about DarkGate

PARTE 1.2 CONSEJOS

Consejos para no caer en el phising:

Comprobar el emisor del correo

No acceder a urls adjuntas en un correo sospechoso

No descargarse archivos adjuntos de correos sospechosos

No ejecutar nada procedente de dichos correos

Comprobar que el correo tenga la etiqueta “reply to” ya que puede que el mensaje se reenvie a otras personas

PARTE 1.3 EJEMPLOS DE PHISING DE TU CORREO

Para esta practica eligiremos el siguiente correo como punto de partida:

Y el siguiente enlace:

https://bit.ly/490z6Q8

PASOS PREVIOS

Antes de acceder a dicho enlace y comenzar la investigación ,vamos a prepararnos antes posibles ataques:

Lo primero será arrancar nuestra maquina virtual. Una vez encendida descargaremos el navegador opera:

Una vez con el opera ya instalado activaremos el vpn que viene incorporado en el navegador:

Ahora que ya estamos navegando mediante una vpn , el siguiente paso será instalar una extensión que nos permite bloquear cualquier ejecución de javascript en nuestra maquina virtual, en nuestro caso utilizaremos la extensión no script:

Tras hacer una prueba con la pagina diariodejerez.es vemos que efectivamente esta funcionando correctamente:

Tras estos preparativos comenzamos con la investigación.

Lo primero será acceder a la web, tras hacerlo nos damos cuenta de que nos redirige a una web bastante extraña:

https://nocturnled.com/0/0/0/4793fd09984e50e2dd7505f0a89171e9/jetblue01

Al parecer al acceder no muestra nada , aunque nuestro detector de javascript si detecta algo por lo que puede ser que simplemente buscaba ejecutar algo en nuestro equipo:

Vamos a ejecutar un whois en este dominio:

Podemos ver que el dominio esta regitrado en Denver (US) , pero podemos sacar poca información mas.

Haciendo la petición por la web podemos sacar mas info de los DNS:

Tras analizarlo con el de tharvester no encontró nada:

Si lo intentamos con el shodan tampoco encuentra nada:

Y con hunter mas de lo mismo:

4.-EJERCICIO EXTRA

Para que nuestra practica no quede tan incompleta haremos una investigación con otro correo , en este caso será :

Un correo que ya de por si se ve al lejos que es un pishing puesto que quien te va a regalar 7k$ por la cara, asi que empezemos.

Lo primero será analizar el origen del mensaje:

Aquí podemos ver que el emisor del correo tiene un correo bastante extraño. Si lo analizamos con el shodan veremos lo siguiente:

Podemos ver los puertos que tiene abiertos , asi como la ultima vez que se conecto.

Al acceder al enlace del correo nos redirige a la siguiente url:

Analizando el código fuente de la web :

Vemos que se ejecuta un script de javascript que te manda a esa dirección web.

Lo siguiente que haremos será analizar la URL con virustotal:

Como podemos ver bastantes webs de seguridad marcan el sitio como una web de phising

A continuación haremos un análisis con TheHarvester:

En el que la verdad es que encontramos poca cosa.

5.- CONCLUSION

En definitiva , he llegado a la conclusión de que es bastante fácil localizar o detectar cuando un correo/sms es phising , ya sea por el email que te lo manda , por el contenido del mismo , o analizándolo con herramientas externas. Lo difícil viene cuando tienes que ir tirando del hilo para ver quien o quienes están intentando estafarte puesto que cada vez se curran mas las estafas o simplemente borran bastante bien su rastro. Al menos con los conocimientos de los que dispongo ahora mismo me parece imposible. Puede ser que no haya elegido bien los correos de ejemplo , quizás en unos meses cuando vuelva a ver esta practica si que pueda.

6.- BIBLIOGRAFIA

https://www.virustotal.com/gui/home/upload

https://shodan.io

https://blog.hackmetrix.com/7-herramientas-de-hacking-etico-que-todo-profesional-debe-conocer/

https://elhackeretico.com/investigar-una-campana-de-smishing/