Un ejemplo cualquiera de phishing

Precisamente hoy, con las vacaciones a la vuelta de la esquina, he decidido escribir este artículo sobre un tema del que quería hablar hace un tiempo, el phishing. ¿Y por qué precisamente hoy? Pues porque esta mañana, revisando mi vieja cuenta de correo, he visto un email que me va a ayudar a documentar un caso real.

A todos os sonará el término phishing, pero ¿qué es exactamente? El término en sí proviene del término inglés "fishing", pescar en castellano. Es una alusión muy acertada, ya que los cibercriminales usando este método, metafóricamente se lanzan a pescar incautos en la inmensidad de Internet. ¿Y cómo lo hacen? Siguiendo con la alegoría, con un cebo, y cuanto mejor sea éste, más fácil resulta que alguien muerda el anzuelo.

Normalmente el método más usado por los delincuentes es el envío de correos electrónicos, aunque también ocurre en otros medios. Esta técnica consiste en el envío masivo e indiscriminado de correos desde una dirección que parece de confianza y que ofrece información de importancia, normalmente relacionada con el tema de seguridad de cuentas o datos personales.

El objetivo que persiguen estos escritos, es conseguir que el receptor del correo responda al mismo, en algunos casos con la información relevante. Sin embargo, la más habitual, es conseguir que hagan clic en un link que les redirigirá a un sitio web falso, pero con la apariencia muy similar al real. Si esto ocurre, estarás dando tus datos en bandeja a quien está administrando esa falsa página web. Este último caso es el que voy a poner como ejemplo, ya que es el que yo he recibido esta mañana.

Antes de pasar a ver el ejemplo de phishing, también me gustaría aclarar un par de términos. Un correo fraudulento de este tipo no sólo se centra en intentar conseguir información de los usuarios, también se usan como medio de transmitir malware, normalmente con archivos adjuntos o aprovechando vulnerabilidades del navegador de Internet, normalmente en versiones de estos sin actualizar. Por eso es importante tener las aplicaciones y el sistema operativo siempre al día y con las ultimas actualizaciones de seguridad.

Además, también existen variantes del phishing cuyos objetivos son más selectos, y suelen requerir un análisis previo o un estudio con ingeniería social, para personalizar los mensajes mucho más que con el phishing normal, el cual se manda de forma indiscriminada.

Este tipo de ataques suele ir dirigido al mundo empresarial, y se denomina spear-phishing (pesca con arpón) y como el nombre indica se centra en objetivos concretos o grupo de usuarios. Una variante aún más selectiva sería el whaling ( algo así como caza de ballenas o caza del pez gordo), cuyos objetivos son los directivos de las empresas.

El ejemplo que voy a poner es muy común, y seguro que todos hemos recibido algún email de este tipo alguna vez. Normalmente los filtros anti-spam funcionan bastante bien y deriva todos estos correos a la bandeja de no deseados, pero siempre se cuela alguno en nuestra bandeja de entrada. Además dependiendo donde visualices el correo, verás más o menos información sobre el origen del email a simple vista.

Aquí vemos el email que he recibido, desde la aplicación de correo del móvil, primer lugar donde lo he visualizado. Como veis, sólo se aprecia que quien envía el correo es Outlook. Sin embargo, tanto en el navegador como en Thunderbird ya vemos algo raro, y es que al lado de Outlook aparece una dirección de correo rara.

En el correo, vemos un mensaje típico que te puede mandar cualquier compañía con la que tengas una cuenta (Google, Microsoft, Yahoo...). Si no nos hemos dado cuenta de la dirección de correo que nos envía el mail y decidimos prestarle atención vemos que nos dice que se ha iniciado sesión con nuestra cuenta desde un Ipad y que tú pinches en el link para actualizar tu información de acceso.

En este punto debemos sospechar. Si tenemos cuenta con Microsoft con todo en español, ¿por qué nos mandan una alerta en inglés? Ya tenemos dos indicadores que algo no está bien... la dirección de envío y el mensaje en sí.

Aún podemos comprobar otra cosa antes de darle clic al link. Simplemente posa el ratón sobre el enlace y fíjate en la parte de abajo del navegador. Verás la dirección a la que dirige el enlace antes incluso de pulsar sobre ella.

Ahora vamos a ver que pasa si pulsamos en el enlace. Como veis en la foto de abajo, nos lleva una página de login que emula la de Microsoft (un poco desactualizada). Aquí debemos prestar atención a varias cosas:

La primera y más obvia, la dirección de la propia página. Nada que ver con Microsoft.

En el pie de página, vemos que pone el sello copyright de Microsoft, ¡pero de 2014!

• Si investigamos un poco más, y aunque aquí en foto no se aprecia, vemos que toda la página es en realidad un decorado. Los links son imágenes, no se puede hacer clic en ellos. Lo único que podemos hacer es poner nuestros datos y enviar. Y haciendo esto, estaremos dando nuestra información a los criminales directamente.
• Una vez que metemos los datos y hacemos "sign in", vemos que nos redirige a la página de login de nuevo, esta vez la real. En el caso que la réplica y ésta fuesen iguales, posiblemente sería mucho más difícil percatarnos que algo no ha ido bien.

En este caso concreto, el phishing no estaba muy trabajado, o mejor dicho la replica de la web no estaba demasiado conseguida. Sin embargo, cuando lo he visto y se lo he mostrado a un compañero, lo primero que él me ha dicho es "eso es que te has logueado desde algún sitio y Microsoft te está avisando".

Hay que prestar un poco de atención antes de abrir un enlace y fijándote en los detalles básicos como los que acabo de decir (sobre todo la barra de dirección de la web) se pueden evitar la mayoría de estos correos.

Como último consejo, y si en algún caso tienes duda sobre la veracidad del correo recibido, puedes acceder a tu cuenta, pero NO desde el enlace que adjunta el correo del que tienes duda. Entra en tu navegador favorito y escribe a mano la dirección a la que quieres acceder (Microsoft, Google, etc).