En nuestro sector los intentos de estafa a través de email son continuos. Con una cierta práctica la gran mayoría son fácilmente detectables y el mismo filtro de anti-spam ya para muchos. Los que acabamos recibiendo en el buzón de entrada, sólo por la forma como está escrito el email, ya se intuye que te están intentando estafar.

Los intentos de estafa más habituales son tres:

El primero: Nos escriben diciendo que están muy interesados ​​en una casa, que el precio no es problema, y ​​que quieren hacer una reserva. Pero, en lugar de pagar sólo la paga y señal preguntan si sería posible pagar todo por adelantado y con tarjeta de crédito. Entonces te dicen que tú les hagas una transferencia por la diferencia entre el importe total de la reserva y la paga y señal. Una vez haces la transferencia te devuelven el cargo de la tarjeta de crédito y ya no vuelves a ver el dinero. Evidentemente la reserva es falsa. Afortunadamente nunca hemos caído y se detecta fácilmente que es una estafa.

El segundo: Es una variante del primero. Quieren hacer una reserva y dicen que te enviarán un cheque por un importe superior al que teóricamente deberían pagar. Entonces te dicen que les hagas una transferencia por la parte sobrante. Cuando vas a cobrar el cheque no hay fondos. También es fácilmente detectable.

El tercero: Los otros ataques mucho menos habituales pero más peligrosos son los de phishing. En nuestro caso son emails que nos envían con el objetivo de conseguir los datos de acceso a algún portal donde nos publicitamos o a nuestras cuentas de correo electrónico. Los hay más y menos sofisticados, pero el que empezamos a recibir el 11 de julio y descubrimos ayer, creemos que está perfectamente pensado para atacar a un grupo reducido de empresas que se dedican al alquiler vacacional. Además, la base del ataque es un dominio perteneciente a una empresa de alquiler vacacional de Sant Feliu de Guíxols.

Así prepararon el ataque, psicología pura y dura:

El 11 de julio recibimos esta petición de reserva por email. De por sí ya era sospechoso pero lo contestamos ya que en ningún caso podíamos asegurar con certeza que fuera falso. Cada día contestamos cerca de 100 correos electrónicos y hay correos reales que realmente están escritos así.
Efectivamente, lo contestamos pero el e-mail se nos devuelve diciéndonos que no existe esta dirección de correo electrónico. Al no poner un número de teléfono tampoco podemos contactar con ellos.
Unos días más tarde nos contacta otra persona diciéndonos que un tal ‘Ulka’ nos había escrito hacía unos días pero que no había recibido respuesta por nuestra parte. Nos vuelve a decir que están interesados en una casa pero que será ella la persona que formalizará la reserva:
Contestamos el correo con normalidad pidiendo disculpas por no haber podido responder el correo que habíamos recibido anteriormente y le informamos de los alojamientos que tenemos disponibles. El mismo día nos contestan diciéndonos que había un pequeño cambio en la reserva y que también vendría su hermano en la casa que tenía una pequeña discapacidad. Que si nos parecía bien nos enviarían algunas fotos de la silla de ruedas que debían llevar para asegurarse de que podrían utilizarla en la casa. Les contestamos que ningún problema, que una vez las recibiéramos les confirmaríamos cuál era la casa más adecuada.
phishing - 4 - conversaY, finalmente intentan hacer el ataque de phishing. Nos contestan enviándonos la foto y diciéndonos que estaban muy interesados en alquilar una casa con nosotros ya que habían oído comentarios muy buenos sobre nosotros:
phishing - 6 - email amb la fotoAl hacer clic sobre la supuesta fotografía la persona encargada de responder los emails sospechó y cerró la página antes de que se cargara. Seguidamente reenvió me email diciéndome que le parecía muy sospechoso. Si la hubiera dejado cargar habría visto la siguiente página:
phishing - 7 - landing phishingHoy en día tampoco es extraño pensar que la imagen está en un disco duro virtual compartido y que te pida la contraseña de acceso simplemente para saber quién accede a las fotos que tienes guardadas en internet. Además, ya sale la dirección de correo electrónico de ‘info@naturaki.com’ y ya has intercambiado varios correos electrónicos con esa persona.

Nos aseguramos de que es un ataque de phishing …

Miré el e-mail con atención y quedé sorprendido ya que tenía algo diferente del resto de ataques recibidos anteriormente. Se notaba que era un ataque dirigido a un número pequeño de empresas y valía la pena investigarlo.

Primero de todo miré a conciencia el correo y visité el enlace donde estaba la supuesta foto. Me envió a un dominio info.mssl-download.com. Sin estar protegido por SSL (no aparece el candado al lado de la dirección, sospechoso) pero la página de gmail.com estaba tan bien hecha que me hace dudar. Incluso me había aparecido la barra de carga de info@naturaki.com típica de gmail . Ni el antivirus ni el navegador me avisan que sea una página peligrosa.

Introduzco un password de acceso incorrecto expresamente a ver qué pasa. Me dice que el password está mal y me lo hace volver a introducir. Lo pruebo dos veces más y me deja entrar a ver la fotografía de la silla de ruedas:

phishing - 8 - a la tercera surt la imatgeRealmente podría pensar, por supuesto, ningún problema, ‘Caroline’ dice la verdad y con esta silla podría venir a las siguientes casas … Le contestaría el email y probablemente nunca más volveríamos a saber de ellos, pero si hubiera puesto la contraseña real habrían conseguido la contraseña de acceso y el daño ya estaría hecho.

Pero… Miro el código y, en realidad, lo que hacía yo no era entrar a la cuenta de Google sino que una pequeña aplicación enviaba por correo electrónico a los atacantes la contraseña que acababa de escribir. Seguro que ya lo han recibido y quizás han intenso entrar, pero … la contraseña era falsa.

Así pues, 100% confirmado era un sofisticado ataque para conseguir la contraseña de acceso a la cuenta de google de info@naturaki.com.

Comenzamos a investigar y a buscar pistas…

Lo primero que hice fue mirar si había algo raro en la dirección de correo de la ‘Caroline’. Todo correcto, era una cuenta de correo de live.com y los emails eran 100% lícitos.

Seguidamente miré si realmente había contactado con nosotros un tal ‘Ukla’ y no le habíamos dado respuesta. Efectivamente había contactado unos días antes y no le habíamos dado respuesta ya que la dirección de correo no existía. Todo correcto.

Entonces miré el correo original que había enviado la supuesta ‘Caroline’. Todo parecía correcto excepto el lugar desde donde se había enviado el correo electrónico:
Estaba enviado a través de una página web y no directamente a través de live.com. Esto en sí mismo no implica nada, nosotros también utilizamos servicios de envío externos y es una práctica muy habitual. Por eso el programa de correo electrónico tampoco lo detectó como posible spam. En cualquier caso, al confirmarse que era un ataque, había que investigar el correo.

Miro el email completo. Un email contiene mucha más información de que la que vemos cuando lo leemos. Esta información sirve principalmente para rastrear el correo electrónico:

Rápidamente podemos ver desde donde se ha enviado el correo y la aplicación que lo ha enviado. Concretamente se envió desde el dominio euro[XXX]holidays.com utilizando un archivo llamado m.php. Un fichero m.php, colocado en la raíz de la página, en un dominio relacionado con vacaciones,… No parece el típico ataque que vulneran la seguridad de la página y consiguen introducir un código malicioso que se dedica a enviar spam… Parece hecho de forma voluntaria por esta página.

Miro el dominio euro[XXX]holidays.com y parece que es una página de alquiler vacacional que opera y también ofrece turismo sexual en la zona de la Costa Brava.

Miro a nombre de quién está el dominio a través del whois (la base de datos mundial con información sobre los dominios). Y … Sorprendentemente me encuentro que está registrado por una presona de Sant Feliu de Guíxols. Lo que me cuesta entender es que existe la opción de ocultar tus datos de la base de datos y así evitar que puedan saber a nombre de quién está el dominio en cuestión. De hecho, en la página mssl-download.com los datos de quién era el propietario del dominio sí estaban ocultados.

Me sorprende, me preocupo y comienzo a pensar que puede ser un ataque dirigido específicamente a un pequeño número de empresas relacionadas con el alquiler vacacional en la zona de la Costa Brava para conseguir los datos de acceso a cuentas de correo electrónico y de servicios en la nube. No sé si estoy exagerando, pero nunca había visto un ataque de phishing tant preciso y bien pensado en los quince años que llevo como profesional en internet.

En cinco años de Naturaki.com hemos recibido muchos ataques de phishing, pero nunca nada parecido a éste. Tras hablarlo y por primera vez en estos cinco años decidimos informar a los Mossos d’Esquadra, a la Asociación de Apartamentos Turísticos y la de Turismo Rural Girona e informar a los principales foros de propietarios del ataque sufrido. En caso de que también necesites hacerlo puede enviarles un email directamente a internetsegura@gencat.cat.