Empecemos con una descripción general básica del mensaje que hemos recibido

Spam email
Correo basura
Gracias a una configuración adecuada de los filtros, se envió inmediatamente a la carpeta de spam. Sin embargo, no todos los sistemas tienen estas opciones activadas o configuradas correctamente. Así que supongamos que, al igual que el 60 % de los buzones corporativos, el nuestro tampoco las tiene.

Lo que podemos observar:
1. Una llamada a la acción: «Se requiere acción».
2. Manipulación de la «importancia»: «Mensajes importantes retrasados».
3. Manipulación del remitente: el remitente es también el destinatario

La identidad del remitente se ha falsificado mediante un mensaje SMTP creado a medida. Además, el mensaje pasó por un servidor proxy y utilizó credenciales comprometidas de una institución educativa pakistaní, tal y como podemos ver en los encabezados sin procesar del correo electrónico:

Received: from mail.nilop.edu.pk (unknown [182.176.176.99]) (using TLSv1.2 with cipher
Received: from [147.189.172.248] (unknown [147.189.172.248]) (using TLSv1.2 with cipher

0. Primera vista

Abramos el enlace del mensaje. Advertencia: no abras enlaces sospechosos en tus dispositivos, ya que pueden contener un virus.

Scam "Mail Portal"
Estafa «Mail Portal»

El enlace tenía el siguiente formato: https://****.gitlab.io/#clients@pwn-all.net

¿Por qué aparece «GitLab» en el enlace?

Porque el atacante se aprovechó de la capacidad de GitLab para alojar sitios web estáticos. El alojamiento en sí no tiene nada de extraño, pero la confianza asociada al dominio gitlab.io ayuda a reforzar el factor de confianza del dominio y a eludir los filtros de algunos sistemas.

Paso 1. Echemos un vistazo

Veamos qué ocurre cuando hacemos clic en este enlace y por qué vemos la página de inicio de nuestro sitio web (aunque un poco deformada).

Fake mail portal displaying the spoofed company homepage in the background

Podemos ver que el atacante está utilizando servicios legítimos para:
Google y ClearBit: recuperar el favicon
; Thum: recuperar una captura de pantalla del sitio web de 1200 píxeles de ancho

El objetivo principal es aumentar la confianza del usuario medio en un sitio web falso, de modo que vea un logotipo familiar y el sitio web de una empresa conocida en segundo plano.

Paso 2. Envío de datos

Imaginemos que somos un usuario cualquiera que no se ha fijado bien y ha introducido sus datos. ¿Qué ocurre a continuación?

Outbound network requests triggered after the victim submits their credentials

Aquí ya podemos ver referencias a servicios de terceros como:
1. ipinfo: para recopilar información sobre la dirección IP del usuario, concretamente: país, región, organización, ubicación aproximada, zona horaria y código postal. Lo más probable es que esto sirva para determinar qué proxies o VPN utilizar en los siguientes inicios de sesión o para preparar un correo electrónico destinado a otra táctica de ingeniería social.
2. Google DNS: para obtener el registro MX que indica dónde se encuentra el punto de entrada del buzón de correo. Presumiblemente, para intentar la verificación a través de SMTP
. 3. En realidad, la solicitud se envía al servidor web del atacante, no a un proxy.

Entonces, ¿qué incluye la carga útil para su servidor?

Data payload sent from the phishing page to the attacker's server

Básicamente, el conjunto estándar. Pero… la respuesta del servidor no fue la habitual.

Response
Respuesta

La respuesta incluía la ruta de acceso a la ubicación donde se guardaron los datos. Puede parecer una broma, pero no lo es.

Paso 3. En el interior

Inside the attacker's collected-data store showing the operator's own test entries

La asombrosa estupidez del atacante y la increíble suerte de los investigadores. Aquí podemos observar de inmediato lo que parecen ser pruebas realizadas por el propio atacante utilizando una dirección IP de Chipre. También podemos ver su zona horaria, que no es la habitual para una dirección IP de Chipre, concretamente, la hora estándar de África Occidental. Esto podría indicar, hipotéticamente, la ubicación real del spammer.

Log entry showing a Cyprus IP address paired with a West Africa time zone

Y, bueno, supongo que tuvimos suerte. Tras revisar sus registros, logramos identificar una dirección IP recurrente procedente de Lagos, Nigeria.

Log entry revealing a recurring IP address from Lagos, Nigeria

Y volvimos a ver una dirección IP de Nigeria; llegados a este punto, probablemente podamos afirmar con certeza que se trataba de una prueba realizada por el propio spammer.

Por desgracia, varias personas cayeron en esta trampa, entre ellas un empleado de un banco, una biblioteca, una agencia inmobiliaria y otros. Es de suponer que el spammer estaba borrando sus registros. Ya se ha notificado a las víctimas y a los proveedores de alojamiento.

Para ayudarte a evitar caer en esta estafa, ofrecemos nuestras soluciones corporativas en forma de complementos para tus clientes de correo electrónico y servicios de monitorización de fugas de datos para usuarios empresariales. También hay una solución para particulares que se centra en la confidencialidad y la privacidad a la hora de buscar sus datos en filtraciones procedentes de ladrones de datos, sitios web comprometidos o publicaciones en la dark web, Telegram o Discord, en más de 600 fuentes. Haz clic en el enlace para obtener más información sobre DarkWeb Monitor.

Paso 4. Recomendación

Para evitar que correos electrónicos de phishing similares lleguen a los buzones de los usuarios, aplica una validación estricta de la autenticación del remitente a nivel de la pasarela SMTP.

Controles recomendados:

  • Publica y mantén un registro SPF estricto que termine con -all.
  • Firme todos los correos electrónicos salientes mediante DKIM.
  • Aplicar DMARC con una política de rechazo