2 sept 2015

Phishing: qué sabía Otelo que Godaddy no sabe

El Phishing es un problema creciente y los delincuentes utilizan técnicas cada vez más inteligentes y sofisticados para lograr que las víctimas hagan clic. Hasta el Otelo de Shakespeare lo sabía hace siglos: la gente es el eslabón más débil de seguridad. ¿Qué hacen los grandes empresas como Godaddy para evitarlo? Según nuestra experiencia: poco y nada.

Desde el mes mayo, un delincuente argentino ha puesto en funcionamiento una nueva estrategia de Phishing, la cual no es desconocida pero que generalmente no se pone en práctica por los riesgos que puede significar para el delincuente estafador: el phisher: registrar dominios .COM con nombres parecidos a las empresas a las cuales simula. En el caso que nos ocupa los dominios registrados corresponden en su mayoría a dominios similares a VISA.

Cómo es el proceso de registro del sitio falso

El proceso que lleva adelante el delincuente es muy sencillo y también es muy fácil determinar que se trata de un sitio registrado para cometer un delito.
  1. El lunes, el phisher con un nombre falso y en una entidad de registro de dominios -como Godaddy- registra un nombre de dominio .COM similar a la entidad afectada, por ejemplo "vissahomeclave.com".
  2. El martes el delincuente sube a un servidor, comprado previamente, el sitio falso y lo apunta al dominio creado recientemente. Además, generalmente el sitio también es hospedado en Godaddy.
  3. Una vez que el sitio se encuentra funcionando, el delincuente envía correos electrónicos a las potenciales víctimas.
  4. El delincuente paga estos servicios con tarjetas de crédito previamente robadas, lo cual puede ser difícil de rastrear.

Casos registrados por Segu-Info

Para entender el problema, a continuación aparece un listado de los dominios .COM registrados en GoDaddy.
  • Dominio: vissahomeclave.com
    Registrar: GODADDY.COM, LLC
    Fecha: 2015-08-29
  • Dominio: homeviseeclave.com
    Registrar: GODADDY.COM, LLC
    Fecha: 2015-08-25
  • Dominio: cuentas-verificaciones.com
    Registrar: GODADDY.COM, LLC
    Redirector: hxxp://mailwing.net/news/000007897516091143995905315221/942cbc37cee2c9b02325f74661d7b7aa
    Fecha: 19-aug-2015
  • Dominio: cuentasreativar.com
    Registrar: GODADDY.COM, LLC
    Fecha: 14-aug-2015
  • Dominio: inetservvisa.com
    Registrar: GODADDY.COM, LLC
    Fecha: 2015-08-10
  • Dominio seguridad-cuentas.com
    Registrar: GODADDY.COM, LLC
    Fecha: 2015-08-27
  • Dominio: premiosvisa.com
    Registrar: GODADDY.COM, LLC
    Fecha: 2015-07-30
  • Dominio: formularioclave.com
    Registrar: GODADDY.COM, LLC
    Fecha: 23-jul-2015
  • Dominio: clientespersonalescambio.com
    Registrar: GODADDY.COM, LLC
    Fecha: 21-may-2015
  • Dominio: formulariovvihome.com
    Registrar: GODADDY.COM, LLC
    Fecha: 29-may-2015
  • Dominio: visacuentas.com
    Registrar: ENOM, INC.
    Fecha: 07-may-2015
  • Dominio: vencimientosclave.com
    Registrar: GODADDY.COM, LLC
    Fecha: 15-may-2015
  • Dominio: altascambio.com
    Registrar: GODADDY.COM, LLC
    Fecha: 05-may-2015
Como puede verse, el phisher tiene un un modus operandi muy sencillo y fácil de determinar. Lamentablemente las denuncias a Godaddy, no tienen ningún tipo de resultado o bien los dominios son bloqueados luego de varios días -5 o más-, lo cual facilita el trabajo del delincuente y amplía la ventana de tiempo en el cual más víctimas puede ser engañadas. En el phishing, el tiempo es el factor más importante. Por cada hora que se demora en dar de baja un sitio falso, la cantidad de afectados crece exponencialmente.

¿Qué hace mal Godaddy?

Godaddy recibe denuncias de spam, phishing y malware a través de este formulario web para posteriormente llevar adelante el proceso de baja. Este proceso es reactivo y el primer inconveniente es que si nadie denuncia el dominio fraudulento, no se realiza ningún proceso automático de detección y, si se hace, nuevamente surge el problema del tiempo.
Como en el caso que se ve en la imagen, de poco sirve reclamar, parece que no es posible modificar los tiempos de Godaddy, poco les interesa la seguridad de los usuarios, su negocio es registrar dominios, independientemente de la cantidad de usuarios que se vean afectados por los mismos.

Nos animamos a acusar de irresponsabilidad a Godaddy por varios motivos:
  • Notificados del problema se convierten en los únicos responsables de desactivar el delito en curso abusando de sus recursos. En este tipo de actividades, como se explicó, es clave desactivar cuanto antes el mecanismo montado por los delincuentes. Mientras más se demora, más víctimas.
  • Nuestra experiencia con otros ISP que proceden adecuadamente en muy corto tiempo, 2 hs. o incluso hasta de inmediato, en menos de 10 minutos.
  • Algunos ISP, ante la repetición de abusos parecen haber tomado medidas proactivas para detectar y bloquear este tipo de abusos y ya no siendo permeables a estos abusos repetitivos.
En Internet los casos de abusos como el phishing y otros son desactivados, bloqueados y eliminados a diario por la participación activa y voluntaria de los distintos actores quienes integramos la red.

Nosotros desde Segu-Info denunciamos los casos que recibimos a los navegadores, Phishtank, ISP y dueños de recursos abusados. Los ISP no deben hacerse los distraídos. Les exigimos asumir su responsabilidad y colaborar en esta lucha. No hay excusas.

Cristian Borghello y Raul Batista
Segu-Info

Suscríbete a nuestro Boletín

4 comentarios:

  1. Muy buena nota Cristian, por lo que he visto, la gente no le da importancia a estas cosas hasta que le tocan el bolsillo (en caso del robo de los datos una tarjeta). Los que estamos en Seguridad Informática, o en mi caso, vemoa que falta concientizacion sobre este tema y otros relacionados. Por otro lado, los ISP y Hosting deberían aplicar normativas que permitan bloquear o dar de baja sitios fraudulentos sin tener que pasar por un formulario web o tramites para denunciar. Saludos!

    ResponderBorrar
  2. Yo también he denunciado muchas webs falsas a Godaddy y es frustrante ver como no hacen nada rápido, en poco tiempo se van a convertir en el paraíso de los timadores con la mala imagen que va dar eso a sus clientes legales que no creo que quieran ser los vecinos de tan malas personas, menos mal que como bien dices nos queda Phishtank al cual yo añadiría el formulario de denuncia de Google que alguna veces parece surtir efecto.

    ResponderBorrar
  3. godaddy es arbitrario e irresponsable tengo mi empresa alojada hace dos años alli y hoy 15 de diciembre me envian un correo diciendo que van a cancelar mi cuenta orque tengo archivos digitales alojados en el hosting y eso viola las politicas de uso, nosotros somos una institucion de eduacacion a distancia y cuando nos vinculamos a godaddy nos dijeron qeu el hosting era ilimitado, ahora en 7 dias como pretenden que elimnemos nuestra institucion o traspasemos todo a otra empresa como nos dijeron, si es navidad y la gente ya salio a vacaciones. tenemos alumnos viendo clases a distancia de todo el mundo en estos momentos. me tienen hace 40 min al telefono y no me dan solucion. estoy furiosa y advierto a quienes esten pensando contratar con godaddy en su falta de seriedad y en lo peligroso que es que una empresa actue de forma tan arbitraria.

    ResponderBorrar
    Respuestas
    1. Muchas gracias por la recomendacion la tendremos muy en cuenta.

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!