Al nostre sector els intents d’estafa a través d’email són continus. Amb una certa pràctica la gran majoria són fàcilment detectables i el mateix filtre d’anti-spam ja n’atura molts. Els que acabem rebent a la bústia d’entrada, només per la forma com està escrit l’email, ja s’intueix que t’estan intentant estafar.

Els intents d’estafa més habituals són tres:

El primer:
Ens escriuren dient que estan molt interessats en una casa, que el preu no és problema, i que volen fer-hi una reserva. Però, enlloc de pagar només la paga i senyal demanen si seria possible pagar-ho tot per avançat i amb targeta de crèdit. Llavors et diuen que tu els facis una transferència per la diferència entre l’import total de la reserva i la paga i senyal. Un cop els fas la transferència et retornen el càrrec de la targeta de crèdit i aquells diners ja els has vist prou. Evidentment la reserva és falsa. Afortunadament mai no hi hem caigut i es detecta fàcilment que és una estafa.

El segon:
És una variant del primer. Volen fer una reserva i diuen que t’enviaran un xec per un import superior al que teòricament haurien de pagar. Llavors et diuen que els facis una transferència per la part sobrant. Quan vas a cobrar el xec tampoc hi ha fons. També és fàcilment detectable.

El tercer:
Els altres atacs molt menys habituals però més perillosos són els de phishing. En el nostre cas són emails que ens envien amb l’objectiu d’aconseguir les dades d’accés a algun portal on ens publicitem o als nostres comptes de correu electrònic. N’hi ha de més i de menys sofisticats, però el que vam començar a rebre l’11 de juliol i vam descobrir ahir, creiem que està perfectament pensat per atacar a un grup reduit d’empreses que es dediquen al lloguer vacacional. A més, la base de l’atac és un domini pertanyent a una empresa de lloguer vacacional de Sant Feliu de Guíxols.

Així van preparar l’atac, psicologia pura i dura:

L’11 de juliol vam rebre aquesta petició de reserva per email. De per si ja era sospitòs però el vam contestar ja que en cap cas podíem assegurar amb certesa que fos fals. Cada dia contestem prop de 100 correus electrònics i n’hi ha de reals que realment estan escrits així.

Efectivament, el contestem però l’e-mail se’ns retorna dient-nos que no existeix aquesta direcció de correu electrònic. Al no posar un número de telèfon tampoc podem contactar amb ells.

Uns dies més tard ens contacta una altra persona dient-nos que un tal ‘Ulka’ ens havia escrit feia uns dies però que no havia rebut resposta per part nostra. Ens torna a dir que estan interessats amb una casa però que serà ella la persona que formalitzarà la reserva:

Contestem el correu amb normalitat demanant disculpes per no haver pogut respondre el correu que havíem rebut anteriorment i l’informem dels allotjaments que tenim disponibles.

El mateix dia ens contesten dient-nos que hi havia un petit canvi en la reserva i que també vindria el seu germà a la casa que tenia una petita discapacitat. Que si ens semblava bé ens enviarien algunes fotos de la cadira de rodes que havien de portar per assegurar-se que podrien utilitzar-la a la casa.  Els contestem que cap problema, que un cop les rebéssim els confirmaríem quina era la casa més adequada.

phishing - 4 - conversa

I, finalment intenten fer l’atac de phishing. Ens contesten enviant-nos la foto i dient-nos que estaven molt interessants en llogar una casa amb nosaltres ja que havien sentit comentaris molt bons sobre nosaltres:

phishing - 6 - email amb la foto

 

Al clicar sobre la suposada fotografia la persona encarregada de respondre els emails va sospitar i va tancar la pàgina abans que es carregués. Seguidament va reenviar-me l’email dient-me que li semblava molt sospitós.

Si l’hagués deixat carregar hauria vist la següent pàgina:

phishing - 7 - landing phishing

Avui en dia tampoc és estrany pensar que la imatge està en un disc dur virtual compartit i que et demana la contrasenya d’accés simplement per saber qui accedeix a les fotos que tens guardades a internet. A més, ja surt la direcció de correu electrònic de ‘info@naturaki.com’ omplerta i ja t’has intercanviat diversos e-mails amb aquella persona.

Ens assegurem que és un atac de phishing…

Vaig mirar-me l’e-mail amb calma i vaig quedar sorprès ja que tenia alguna cosa diferent de la resta d’atacs rebuts anteriorment. Es notava que era un atac dirigit a un nombre petit d’empreses i valia la pena investigar-lo.

Primer de tot miro bé el correu i clico sobre l’enllaç on hi havia la suposada foto. M’envia a un domini info.mssl-download.com. Sense estar protegit per SSL (no apareix el candau al costat de la direcció, sospitós) però la pàgina de gmail.com està tant ben feta que inclús abans m’havia aparegut la barra de càrrega de info@naturaki.com típica de gmail que em fa dubtar. Ni l’antivirus ni el navegador m’avisen que sigui una pàgina perillosa.

Introdueixo el password d’accés expressament malament a veure què passa. Em diu que el password està malament i me’l fa tornar a introduir. Ho provo dos cops més i em deixa entrar a veure la fotografia de la cadira de rodes:

phishing - 8 - a la tercera surt la imatge

Realment podria pensar, i tant, cap problema la ‘Caroline’ diu la veritat i amb aquesta cadira podria venir a les següents cases… Li contestaria l’email i probablement mai més tornaríem a saber d’ells, però si hagués posat la contrasenya real haurien aconseguit la contrasenya d’accés i el mal ja estaria fet.

Però… Miro el codi i, en realitat, el que feia jo no era entrar al compte de Google sino que una petita aplicació enviava per correu electrònic als atacants la contrasenya que acabava d’escriure. Segur que ja l’han rebut i potser han intenat entrar, però… la contrasenya era falsa.

Així doncs, 100% confirmat era un sofisticat atac per aconseguir la contrasenya d’accés al compte de google de info@naturaki.com.

Comecem a investigar i buscar pistes…

El primer que vaig fer va ser mirar si hi havia alguna cosa estranya en la direcció de correu de la ‘Caroline’. Tot correcte, era un compte de correu de live.com i els emails eren 100% lícits.

Seguidament vaig mirar si realment havia contactat amb nosaltres un tal ‘Ukla’ i no li havíem donat resposta. Efectivament havia contactat uns dies abans i no li havíem donat resposta ja que la direcció de correu no existia. Tot correcte.

Llavors vaig mirar el correu original que havia enviat la suposada ‘Caroline’. Tot semblava correcte excepte el lloc des d’on s’havia enviat el correu electrònic:

 

Estava enviat a través d’una pàgina web i no directament a través de live.com. Això en si mateix no implica res, nosaltres també utilitzem serveis d’enviament externs i és una pràctica molt habitual. Per això el programa de correu electrònic tampoc el va detectar com a possible spam. En qualsevol cas, al confirmar-se que era un atac, calia investigar el correu.

Miro l’email complet. Un email conté molta més informació que la que veiem quan el llegim. Aquesta informació serveix principalment per rastrejar el correu electrònic:

Ràpidament podem veure des d’on s’ha enviat el correu i l’aplicació que l’ha enviat. Concretament es va enviar des del domini euro[XXX]holidays.com utilitzant un fitxer anomenat m.php. Un fitxer m.php, col·locat a l’arrel de la pàgina, en un domini relacionat amb vacances,… No sembla el típic atac que vulneren la seguretat de la pàgina i aconsegueixen introduir un codi maliciós que es dedica a enviar spam… Sembla fet de forma voluntària per aquesta pàgina.

Miro el domini euro[XXX]holidays.com i sembla que és una pàgina de lloguer vacacional i que opera i també ofereix turisme sexual a la zona de la Costa Brava.

Miro a nom de qui està el domini a través del whois (la base de dades mundial amb informació sobre els dominis). I… Sorprenentment em trobo que està registrat per una presona de Sant Feliu de Guíxols. La qual cosa em costa d’entendre ja que hi ha la opció d’ocultar les teves dades de la base de dades i així evitar que puguin saber a nom de qui està el domini en qüestió. De fet, a la pàgina mssl-download.com les dades de qui era el propietari del domini sí que estaven ocultades.

Em sorprèn, em preocupo i començo a pensar que pot ser un atac dirigit específicament a un petit nombre d’empreses relacionades amb el lloguer vacacional a la zona de la Costa Brava per tal d’aconseguir les dades d’accés als comptes de correu electrònic i de serveis en el núvol. No sé si estic exagerant, però mai havia vist un atac de phishing tant precís i ben pensat en els quinze anys que porto com a professional a internet.

En cinc anys de Naturaki.com hem rebut molts atacs de phishing, però mai res semblant a aquest. Després de parlar-ho i per primer cop en aquests cinc anys decidim informar als Mossos d’Esquadra, a l’Associació d’Apartaments Turístics i informar als principals fòrums de propietaris de l’atac sofert. En cas que també necessiteu fer-ho podeu enviar-los un email directament a internetsegura@gencat.cat.