Interlan

Este es mi sitio personal y profesional, donde publico mis actividades, experimentos y servicios que he ido desarrollando durante mi crecimiento profesional.

Articulo: Mensajes de Phishing a Correos «Empresariales»

Mensaje de phishing para OVHcloud
0
(0)

Realmente no entiendo la inversión de recursos en mandar mensajes de phishing al azar. No creo que haya tanto éxito como para que valga la pena, pero tal vez, los que caigan justamente le den sentido a este tipo de ataque informático. No lo se, necesito estadísticas y no se donde o como conseguirlas.

Este post pretendía ser un articulo ligero con unas cuantas capturas de pantalla, pero se tuvo que hacer algunas correcciones para no caer en desinformación.

Introducción

Tal vez sea que los correos de phishing atacan a este tipo de bandejas debido a que los filtros de spam no son tan especializados como los de gmail y otros, pero es fascinante de ver como trabajan, tratando de hacerse pasar por mensajes reales de plataformas reales. En este caso, mi plataforma es Digital Ocean, pero aun asi me ha llegado mensajes de OVHcloud, plataforma que nunca he tocado en mi vida.

cito este comentario que encontré en Reddit:

OVH es la fuente de una gran parte del spam que llega a nuestros sistemas.
Todos los días, aparece spam de nuevas IPs de OVH, incluso después de que hayamos bloqueado las IPs de las que llegó anteriormente. Reenviar ese spam al correo electrónico de abuso de OVH solo obtiene una respuesta automática que indica que insisten en que todos los informes se envíen a través de un formulario web. Así que cada rango del que aparece su spam, lo bloqueamos en nuestro firewall. No nos corresponde usar su formulario web, cuando obviamente no les importa de todos modos, o aceptarían los reenvíos de correo electrónico, como prácticamente cualquier otro servicio. No es que las habilidades de programación para analizar y procesar esos correos electrónicos no estén disponibles para OVH.

Así que una advertencia para quienes estén considerando OVH: estarán en compañía de spammers persistentes, culpa por asociación, y encontrarán sus correos electrónicos bloqueados en muchos lugares.

Pero lo mismo he encontrado en otras plataformas como Contavo y los mensajes de Spam muchas veces vienen desde Gmail, que se supone pasar por filtros de verificación bastante extensivos. Pero es cierto. Debido a la cantidad de spam que puede venir de esas plataformas, muchas personas o empresas pueden elegir bloquear sus rangos de direcciones IP, asi que si tienes un servicio allí, probablemente te encuentres rápidamente aislado.

 

Mensaje de spam en texto plano sin miedo al exito
Mensaje de spam en texto plano sin miedo al éxito

Mas Intentos de Phishing

Este mensaje de Spam es bastante común y no tiene nada de especial, pero me ha llamado la atención por el enfoque que tiene. Ha llegado  a mi cuenta de info@interlan.ec, la cuenta de correo asignada para la información de dominio, información del servidor y otras tareas, por lo que no es fácil de encontrarla. Aun así, he notado que han empezado a llegar una variedad de mensajes en los que intentan que caiga, asumiendo que soy un SysAdmin en alguna plataforma que por alguna razón no son capaces de detectar de forma automática.

No es ningún misterio que alojo mis servicios en Digital Ocean y es info que se puede sacar fácilmente con un poco de esfuerzo (malicioso o inocente) así que solo puedo pensar que están teniendo como objetivos a los usuarios que deciden autoalojar por «abaratar costes» sin saber nada de administración de servidores o directamente a novatos. Llamemosle pesca con red pues, hasta el momento me han llegado mensajes para:

OVHcloud

Mensaje de phishing para OVHcloud
Mensaje de phishing para OVHcloud

RoundCube Clásico

Mensaje de phishing emulando al correo por defecto de configuración de RoundCube
Mensaje de phishing emulando al correo por defecto de configuración de RoundCube

RoundCube (variación estilo zimbra)

Mensaje de phishing emulando al correo por defecto de configuración de RoundCube (variacion similar a zimbra)
Mensaje de phishing emulando al correo por defecto de configuración de RoundCube (variacion similar a zimbra)

RoundCube (variación de algún proveedor de hosting personalizado)

Mensaje de phishing emulando al correo por defecto de configuración de RoundCube (variacion de algun proveedor personalizado de hosting)
Mensaje de phishing emulando al correo por defecto de configuración de RoundCube (variación de algún proveedor personalizado de hosting)

RoundCube (variación de hosting, posiblemente con cpanel)

Mensaje de phishing emulando al correo por defecto de configuración de RoundCube (variación cpanel)
Mensaje de phishing emulando al correo por defecto de configuración de RoundCube (variación cpanel)

¿Entonces?

Excepto por el mensaje de OVHcloud, te habrás dado cuenta que todos tienen un botón que te lleva al panel de control cuestionable. Es una forma astuta de pescarte pues no puedes ver donde te lleva hasta que le has dado click y entonces ya te habrán hecho lo que sea que te quieran hacer, así que es fácil confiare cuando el mensaje llega con un enlace visible que encima tiene apariencia de confiable, pero HTML permite agregar una etiqueta «anchor» cuyo texto es diferente al enlace que contiene.

<a href="recogiendofrutos.interlan.ec">interlan.ec</a>

Entonces, al ver un enlace en el que confías, puedes darle click sin saber que estas cayendo en las redes del estafador.

<a style=3D"color: rgb(17, 85, 204);" href=3D"https://xxxxx/wp-admin=
/css/main/interface.root/index/mail.authn/login/Mail%20-%20Inbox.html#info@=
interlan.ec" target=3D"_blank" data-saferedirecturl=3D"https://www.google.c=
om/url?q=3Dhttps://help.ovhcloud.com/csm/fr-email-blocked-for-spam?id%3Dkb_=
article_view%26sysparm_article%3DKB0053432&amp;source=3Dgmail&amp;ust=3D175=
6915320598000&amp;usg=3DAOvVaw1BLo71lkFwvCU7lt1SuKZc"><font style=3D"vertic=
al-align: inherit;" dir=3D"auto">
enlace malicioso a un posible sitio infectado o secuestrado
enlace malicioso a un posible sitio infectado o secuestrado
Enlace aparentemente normal de ovhcloud
Enlace aparentemente normal de ovhcloud

Observaciones adicionales

Durante la edición de este articulo noté una particularidad curiosa. Estaba asumiendo que el enlace donde lleva seria propiedad del atacante, pero viendo la estructura de directorios del enlace, encuentro posible que sea un sitio infectado o Zombie. Voy a desglosar esta situación con el fin de explicar mas o menos lo que hace la url

dominio

Obvio no tengo ganas de darle difusión. Si google indexa mi blog y alguien cae por darle click (aunque no deje ningún enlace ni boton que lleve alli) pues pueden culparme y no pues.

wp-admin

Es la url comun que tiene wordpress para iniciar sesion

wp-admin=/css/main/interface.root/

No estoy muy seguro de esto, debido a que wordpress mediante su sistema de plugins, ademas del mod_rewrite de apache, puede modificar las url para servir paginas o redirecciones, así que, asumiendo esto, puede que esta parte intente llevar al navegador a una url diferente del servidor donde se encuentra alojado la pagina maliciosa.

mail.authn/login/Mail%20-%20Inbox.html#info@=interlan.ec

Asumiendo lo anterior como correcto, la pagina puede estar emulando el panel de control de OVHcloud, que en su servicio de hosting permite ajustar cosas de wordpress. Esto lo hace para redirigir a los usuarios a los demás servicios que tiene, por ejemplo, el correo electrónico, probablemente servido mediante webmail RoundCube.

Me llama la atención que la página sea HTML. El sitio seria estático y no aceptaría parámetros GET ni POST asi que el hashtag de tipo anchor, funcionaria como lo hace de forma nativa HTML, a menos que utilice algún Framework Javascript que utilice los anchor como parámetros. Imagino que el que lleve mi dirección de correo le sirve para saber si su ataque ha tenido éxito y tenerme como victima vulnerable (o vender mi correo a una lista de Spam).

Conclusiones

Tampoco es que sea necesario que sepas mucho de seguridad informática para darte cuenta que es algo sospechoso. Ya de por si es muy raro que OVHcloud te envíe un correo cuando eres usuario de Hostinger, así que la mejor medida de protección es borrar.

Los correos «Empresariales» son blancos muy comunes de ataques de phishing debido a que tienen filtros de spam mas débiles que los que tiene por ejemplo, Google o Microsoft, así que no es raro que te encuentres mensajes de este tipo, por lo que, como diría Biología desde Cero «No le des click a enlaces sospechosos a lo pendejo»

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuarlo!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

¡Siento que este contenido no te haya sido útil!

¡Déjame mejorar este contenido!

Dime, ¿cómo puedo mejorar este contenido?

Únete a mi red poniendo la URL de tu blog. Aprender más

 
Interlan
Interlan
@interlan.ec@interlan.ec

Este es mi sitio personal y profesional, donde publico mis actividades, experimentos y servicios que he ido desarrollando durante mi crecimiento profesional.

95 publicaciones
0 seguidores

Descubre más desde Interlan

Suscríbete y recibe las últimas entradas en tu correo electrónico.

,
, , , , ,

Drk0027

Soy Drk0027, un desarrollador web con diversas capacidades como Administración de servidores web, Gestión de sitios web WordPress, Creación de plantillas HTML+CSS responsivo y otros. Puedes hablar conmigo en mi perfil de Telegram o seguir mis proyectos en mi canal https://t.me/drk0072

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Interlan