Cómo hacen los delincuentes para enviar los correos falsos de VISA (y II)
En la primera parte de este artículo analizamos varias de las vulnerabilidades que tiene un servicio de mailing argentino y que es utilizado por varias empresas argentinas para comunicarse con sus clientes.
Ahora veremos cómo los delincuentes utilizan estas vulnerabilidades para crear correos falsos de Visa y distribuirlos a miles de posibles víctimas.
Lo primero que se encuentra en forma pública en el servidor son todos los archivos del mismo, lo que facilita encontrar los archivos necesarios para crear y enviar los correos falsos:
Una vez analizados todos los archivos, es posible llegar a la conclusión que los delincuentes han creado distintas plantillas de correo electrónico a través del uso de los editores que se encuentran disponibles en el servidor y posteriormente han realizado el envío a través de las funciones de SMTP también alojadas allí y utilizadas normalmente por los clientes de la empresa.
Una vez creados, los correos falsos tienen la siguiente apariencia:
Esa plantilla se puede modificar cada vez que la dirección del sitio falso cambie. En este caso, en la parte inferior se puede ver la redirección a un sitio falso que ya ha sido dado de baja. Aquí se puede ver otro ejemplo con un dominio distinto:
Para los delincuentes, cada vez que se da de baja uno de estos sitios falsos, simplemente deben crear otra plantilla apuntando a un nuevo dominio y ya pueden realizar el nuevo envío a miles de usuarios.
Este procedimiento tiene muchas ventajas para el delincuente:
En este caso tenemos varios problemas e inclusos delitos:
Ahora veremos cómo los delincuentes utilizan estas vulnerabilidades para crear correos falsos de Visa y distribuirlos a miles de posibles víctimas.
Lo primero que se encuentra en forma pública en el servidor son todos los archivos del mismo, lo que facilita encontrar los archivos necesarios para crear y enviar los correos falsos:
Una vez analizados todos los archivos, es posible llegar a la conclusión que los delincuentes han creado distintas plantillas de correo electrónico a través del uso de los editores que se encuentran disponibles en el servidor y posteriormente han realizado el envío a través de las funciones de SMTP también alojadas allí y utilizadas normalmente por los clientes de la empresa.
Una vez creados, los correos falsos tienen la siguiente apariencia:
Esa plantilla se puede modificar cada vez que la dirección del sitio falso cambie. En este caso, en la parte inferior se puede ver la redirección a un sitio falso que ya ha sido dado de baja. Aquí se puede ver otro ejemplo con un dominio distinto:
Este procedimiento tiene muchas ventajas para el delincuente:
- La creación de correos es muy rápida, simplemente se debe crear una nueva plantilla
- El envío de los correos se realiza desde un servidor preparado para ese proceso
- El SMTP (y su IP) utilizado es el de la empresa por lo que el delincuente es prácticamente inrastreable
- Al ser servidores utilizados para mailing no sería raro que los mismos no aparezca en listas negras, lo cual es un gran beneficio para los phishers
- La base de datos de usuarios a quienes se envía puede ser todos la misma de los clientes reales de la empresa. Teniendo en cuenta el tamaño de los clientes que posee esta empresa, se puede asumir que miles de usuarios reciben los correos falsos.
Conclusiones
Todo lo mostrado y explicado hace (o debería) reflexionar sobre lo que invierten las empresas en seguridad y sobre los procesos de contratación de empresas que ofrecen servicios.En este caso tenemos varios problemas e inclusos delitos:
- Una empresa que con una actitud negligente ha publicado sus servicios web y de mailing que pueden ser fácilmente abusados por los delincuentes
- Decenas de empresas que contratan los servicios de esa empresa sin averiguar sus antecedentes ni verificar los servicios contratados
- Daño a la imagen de todas las empresas involucradas
- Varios delincuentes aprovechando los problemas anteriores, lo cual les facilita la comisión de sus delitos
- Lo más importante: miles de usuarios son perjudicados y sus datos personales son almacenados en bases de datos vulnerables y pueden ser publicados. ¿Cuánto tardará alguien en publicar la base de datos de miles de clientes? Todo esto en Argentina, es un delito según la Ley de Habeas Data pero, ¿a alguien le importa o lo controla?
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!