[Seguridad] Phishing

[Juan Carlos Guel Lopez]

-----BEGIN PGP SIGNED MESSAGE-----


Hola!!

Es un tema complejo y algo avanzado ya que apenas vamos comenzando pero
intentare explicar algo de procedimientos y tecnicas que se usan y como
detectarles.

Añado un poco a lo que Jorge comenta:

Los phishing s´i pueden llevar cuentas trazables. Asi funcionan varios
engaños SCAMS que monitoreamos. Es cuando combinan phishing y el phishing
que es la tecnica conduce al SCAM al engaño que puede ser por medio del
correo electronico, etc.. Cabe señalar que la mayoria  ya no usan esta
tecnica --una cuenta trazable-- pero ayer veiamos pare de casos, asi que
no descartarle. Recordemos que ya van varias generaciones
de Phishing y dia con dia vemos casos mas sofisticados.

Un poco de Versiones de Phishing SCAMS que hemos visto.....

1. Email falso con URL redireccionado simple y el mas comun
2. Tipico email redireccionando a un tercer sitio con nombres comunes o
similares aprovechando lagunas en la lectura a simple vista del lector
y aprovechando lode los caractares internacionales por ejemplo:
	Original: banamex.com
	Falso URl: banarnex.com
	           bannamex.com

Etc, etc....

3. Presentado en RSA 2005 donde se usan certificados empleando la tecnica
de Man in the middle pero con sitios falsos redireccionando el trafico
valido a un tercer sitio que te da certificado valido como el de los
bancos. Lo envian igual por correo, le da un certificado al usuario
victima, el usuario da click en el certificado pensando y "confiando" en
la organizacion--pero ese certificado es del sitio falso-- y accesan a un
tercer sitio, sitio del intruso, el Man in the middle es llevado a cabo.

A traves de estas tres tecnicas hemos visto variantes muy interesantes
como Kits de Phishing con diversos idiomas, esta semana detactabamos mas
de 2 con sitios multiples, imaginate un sitio con mas de 30 bancos de todo
el mundo desde luego falsos-- y con los correos listos para enviar via
botnets o aprovechando del relay abierto en algunos servidores. En algunos
casos hemos monitoreado inclusive la Be de datos simple que usan la
mayoiria de algunos kits.

Lo que te sugiero es lo siguiente:

1. Obtener el correo original con encabezados, etc. Obteniendo la muestra
podremos realizar estudios desde si el correo es enviado desde un botnet o
desde una organizacion, e investigar.

2. Obteniendo el correo original estudiar el contenido, en formato crudo
llamese html, verificar las ligas y la cuenta de correo.

3. Una vez que identificas la liga, validar el sitio que realmente sea un
sitio malicioso. (puede no estar en linea, etc)

4. Buscar en bases de datos de whois a quein pertenece ese Dominio

www.samspade.org
www.network-tools.org

Estas y mas herramientas te podran ayudar.

5. Reportarlo a organismos como un CERT de tu pais, policias ciberneticas
de tu pais, para que ellos puedan coordinarse o ambos en el mejor de los
casos.

En muchos casos los usuarios nos reportan estos casos y solo les pedimos
el correo original con encabezados y la investigacion y validacion se
realiza por el personal de la policia cibernetica del pais y en conjunto
para nuestro caso con el CERT de Mexico.

Existen algunos sitios donde puedes reportarlos, desafortunadamente te
comento que estos sitios son cerrados y los mismos grupos de seguridad se
coordinan para mantener el grupo y reportes de manera cerrada por varias
razones.

Los reportes no pueden ser publicos, los intrusos no pueden verlos,
imaginate si los pudieran ver...se discuten tecnicas que emplean, se busca
coordinacion con equipos Abuse de los proveedores para el cese del sitio,
etc.

Por lo que insisto y te sugiero que si realmente se busca ayudar para la
eliminiacion/erradicacionde  estos sitios se envien a un organismo de
seguridad y que estos organismos puedan ayudar en el
cierre/cese/mitigacion del problema.

Este es un tema que esta pegando muchisimo en nuestras comunidades y
requiere de Coordinacion entre todos para ayudar.

Es importante recalcar que en muchos casos hemos visto como casos de
phishing por no manejarse apropiadamente se convierten en problemas de
pantalon largo y  ahi se detienen y no se soluciona. La palabra clave en
este tipo de problemas como muchos ataques es la Coordinacion entre
personal de seguridad de diversas organizaciones para una
mitigacion/cese/bloqueo del problema.

Por ello estamos aqui, intentando crear una comunidad que nos hace mucha
falta en nuestras organizaciones de America Latina, donde podamos
ayudarnos a resolver este y muchos otros problemas como los que mencionaba
Gaston Franco de ArCERT que coincido con el muchos problemas venimos
arrastrando de hace ya algunos años y cosas que parecian resueltas en
seguridad aun no lo estan.

Saludos
- --JC GUEL

==========================================
Visita: http://www.seguridad.unam.mx/
==========================================

On Thu, 23 Mar 2006, Jorge F. Messano wrote:

> Eduardo,
>
> Hmmm... Suena raro que un "phishing" envie datos a una cuenta de correo
> trazable... en general no funcionan asi.
> Lo mas probable es que el mail con el "phishing" esté siendo enviado desde
> la "cuenta de correo" en cuestion... y en ese caso se lo debe tratar de
> forma similar a un caso de Spam.
>
> Como actuar?
> Primero: Atender la denuncia sin dilación, pidiendo que te envien
> inmediatamente toda la documentacion del caso.
>
> Segundo: Suponiendo que el caso sea como digo en el primer parrafo, es decir
> que el "phishing" llega en un mail cuyo dominio es operado por Ustedes, debe
> entonces procederse a verificar que "realmente" la direccion de correo sea
> de Ustedes.
> Esto se comprueba leyendo el header del mail (del "phishing") y comprobando
> que la IP de origen del mail corresponda al dominio informado en la cuenta.
>
> A partir de aqui, hay dos respuestas y acciones posibles.
>
> Respuesta y Accion 1.
> Si coinciden querra decir que el mail efectivamente salio de ese server. En
> ese caso debe ubicarse el punto fisico de origen del mensaje a traves de los
> medios tradicionales:
> 1. Datos del usuario dueño de la cuenta de correo (suponiendo que la cuenta
> es valida).
> 2. De que IP se impuso el mensaje (IP que se conecto al SMTP server).
> 3. Fecha y hora del mensaje.
>
> Con estos tres datos basicos puede entenderse quien, desde donde y cuando
> envio el mensaje, y analizando los logs del SMTP server pueden tenerse mas
> datos, basicamente para entender si es una "simple" accion de "phishing" via
> spam, o de una cuenta robada para hacer "phishing" via spam.
>
> Si la IP del punto 2 no corresponde al segmento administrado por Ustedes,
> podria tratarse de lo segundo, es decir de una direccion de correo robada (o
> del usuario conectandose desde otra red)... Arnet en Argentina, por ejemplo,
> no permite esto ultimo justamente para evitar este riesgo.
> Al fin de cuentas, la causa mas probable es que la raiz del asunto esté en
> una PC (donde reside la cuenta en cuestión) infectada con algun virus o
> malware haciendo envio del "phishing".
>
> Respuesta y Accion 2.
> Si no coindicen, querra decir que el mail esta siendo enviado falsificando
> la cuenta de correo.
> En ese caso debe trasladarse el reclamo al ISP dueño de la IP en cuestion
> para que proceda a analizar y resolver el caso.
> Atencion!!!
> La IP en cuestion podria ser del segmento administrado por Ustedes mismos...
> lo cual facilita la deteccion del punto de origen físico (via analisis de
> logs de conexion) y posterior resolucion del caso.
>
> No quiero extenderme mas de lo que ya me extendí.
> Espero haber ayudado.
>
> Saludos
>   Jorge Messano
>
>
>
>
>   _____
>
> From: seguridad-bounces en lacnic.net [mailto:seguridad-bounces en lacnic.net] On
> Behalf Of ecarozo en antel.com.uy
> Sent: Thursday, March 23, 2006 7:18 PM
> To: seguridad en lacnic.net
> Subject: RE: [Seguridad]Bienvenido a la lista de distribución Seguridad
>
>
> Ya que estamos, aprovechemos para trabajar:
> En nuestra empresa brindamos entre muchas otras cosas servicios de correo
> electrónico.
> Tenemos una denuncia de un banco de un país vecino, que establece que en una
> de las casillas de nuestros clientes, se están recibiendo datos de un
> physhing...
> ¿han tenido un caso de este tipo?¿cómo han actuado?
> Saludos cordiales,
> Eduardo.
>
> Creo que poniendo estos casos se contribuye a formar conocimiento entre los
> participantes, además de conocer las distintas soluciones en cada país...
>
> Saludos cordiales,
> Eduardo.
>
>
>   _____
>
> De: seguridad-bounces en lacnic.net en nombre de dcastril en fundacyt.org.ec
> Enviado el: Jue 23/03/2006 06:52 p.m.
> Para: seguridad en lacnic.net
> Asunto: Re: [Seguridad]Bienvenido a la lista de distribución Seguridad
>
>
>
> Estimados Colegas
>
> Creo que un tema importante sería  concienciar la problemática de las
> seguridad en redes en nuestra región a traves de una comunidad de seguridad
> como ya manifestó un colega.
>
> Un saludo fraternal desde Ecuador
>
> Diego Castrillon
>
> Fundación pata la Ciencia y la Tecnología (FUNDACYT)
> Ecuador
>
> Este e-mail y cualquier posible archivo adjunto está dirigido únicamente al
> destinatario del mensaje y contiene información que puede ser confidencial.
> Si Ud. no es el destinatario correcto por favor notifique al remitente
> respondiendo este mensaje y elimine inmediatamente el e-mail y los posibles
> archivos adjuntos al mismo de su sistema. Está prohibida cualquier
> utilización, difusión o copia de este e-mail por cualquier persona o entidad
> que no sean las específicas destinatarias del mensaje. ANTEL no acepta
> ninguna responsabilidad con respecto a cualquier comunicación que haya sido
> emitida incumpliendo nuestra Política de Seguridad de la Información.
> . . . . . . . . .
> This e-mail and any attachment is confidential and is intended solely for
> the addressee(s). If you are not intended recipient please inform the sender
> immediately, answering this e-mail and delete it as well as the attached
> files. Any use, circulation or copy of this e-mail by any person or entity
> that is not the specific addressee(s) is prohibited. ANTEL is not
> responsible for any communication emitted without respecting our Information
> Security Policy.
>
>
>

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQEVAwUBRCNJ/5lW1rrzglhVAQE3QAf9H3w9N6uy2PMkQPLFJu1PU98l9PAaeJkp
AQGjWTOZgVuQgZso2Z90bEVy6Uqc1glW4IqAiJUcAZa/4DMuOSKPTtqcgO+KTvNj
fm2tgQLlFHdqCpgU9txUjpu083kUbqG68amiGgNT0kGnxdTX3gQWke/XWF+HHmwR
Sa9FEBu1OTqEUCUUZiq8sE/gKHtHMaNsI/4MffOdx4MztiT+x50hpj/j8ENoUKz4
f7kaxX5TybXofI7rg+gXV32qtzhJ70fhT9Od2ILMdKKPi3MMSeYKwLervFjeV7QK
IZWi2Fy1yvnBXAlChpK860E8IU4MdKf01eD6iMyONGa1QWx6fXtN0Q==
=BIot
-----END PGP SIGNATURE-----