pueden descargar el articulo del análisis
Transcripción
pueden descargar el articulo del análisis
Análisis a correo malicioso en Hotmail Hace unos días recibí en uno de mis correos un mail que decía que windowslive había detectado un problema con mi cuenta y que eso se podía deber a los siguientes factores; 1. Un cambio reciente en su información personal (cambio de dirección, cambio de servicio (ISP), etc.) 2. Que usted haya proveído información invalida durante su proceso inicial de registro para Hotmail live o que usted aun no haya realizado dicho registro de su cuenta en la versión completa de Windows Live Hotmail. 3. Accesos a su cuenta a través de Hotmail Live en Linea que han sido realizados desde diferentes direcciones IP. Esto seguramente se debe a que la dirección IP de su PC es dinámica y varía constantemente, o debido a que usted ha utilizado mas de un computador para acceder a su cuenta Y me decía que; para que no borraran mi cuenta debía de bajarme un certificado de seguridad de WINDOWS LIVE MESSENGER "cuyo procedimiento se realizara en linea con un sifrado de (1024Bits) para hacer segura e indetectable el proceso de validación" El correo se veía así; http://www.neobits.org hecky Análisis a correo malicioso en Hotmail REALMENTE MUY PROFESIONAL Y CONVINCENTE, tipo correos de Microsoft...Para mi mala suerte, en ese momento estaba "despistado" y me lo creí...y dije "Total que me borren la cuenta", y me fui...Tiempo Después (1 minuto) me llego esa curiosidad característica y decidí volver a ver el correo..y esta vez caí en cuenta de la farsa ¬¬ Lo primero que hizo que me diera cuenta de que había algo raro fue esta parte... "cuyo procedimiento se realizara en linea con un sifrado de (1024-Bits) para hacer segura e indetectable el proceso de validación" SIFRADO???? Primeramente SIFRADO se escribe así; CIFRADO...Una falta de ortografía ^^ típico en malware tipo phishing... ahora, esa linea lo que me da a entender es que al bajar el boletín de seguridad, se ejecutara y hará una conexión cifrada con un algoritmo de 1024 bits... Entonces ya con esos indicios tuve la sospecha de que se trataba de un engaño y de phishing...Y decidí analizar a "ojo de buen cubero" pero mas a fondo...Veamos lo que encontré... Primero analicemos el correo a simple vista... 1.-Dice que han detectado un error en la información que tienen detectada en mi cuenta-¿Como es que detectaron un error?,¿Contra que compararon mi información? 2.-Dice que el error se pude deber a "un cambio de dirección"---¿Como es que Hotmail corroboraría mi dirección física real? 3.-Dice que se puede deber a que di información falsa--CLARO QUE DI INFORMACION FALSA...CLARO QUE NO DI TODOS MIS DATOS...Eso es obvio!!! Pero ni por que yo mismo lo acepte, Hotmail puede comprobarlo, ni aunque se lo diga... 4.-Dice que se debe a que accedo de diferentes IP(Ip dinámica) o por que me meto desde diferentes computadora--Claro ESE ES EL FIN DE UN e-mail poder acceder a la información desde cualquier lugar...¿De cuando aquí para acceder a mi correo debo tener una ip fija, o hacerlo desde una misma computadora?---Los correos no hacen comprobaciones de IP para que ingreses correctamente...seria muy molesto que para poder ingresar a mi correo tenga que hacer comprobación de una IP FIJA, de una Dirección MAC, De mi User-Agent...etc... 5.-Ahora como ya había dicho, otro indicio era la palabra "sifrado" 6.-Me dice que debo descargar un Boletín y que el hará una conexión---¿De cuando aquí debo descargar boletines?,¿BOLETINES QUE SE EJECUTAN :S WTF? 7.-Otro error fue que dice que el boletín es de Windows Live messenger--Yo me pregunto, que tiene que ver en todo esto el messenger??? Una cosa es mi cuenta de correo de Hotmail y otra es el servicio de messenger...Yo puedo tener un servicio independiente de otros...Otro error aquí mismo fue que escribió "windows live messenger" en minúsculas...Y Microsoft, siempre escribe el nombre de sus servicios,productos,dependencias,etc...en MAYUSCULAS http://www.neobits.org hecky Análisis a correo malicioso en Hotmail 8.-En el mismo correo nos proveen de 3 links...uno que dice "descargar boletín de verificación de cuenta ID Live", otro que dice "cerrar tu cuenta" y el otro "Declaración de privacidad"---PERO LOS 3 LINKS LLEVAN AL MISMO DESTINO 9.-Los links llevan a la siguiente dirección "http://www.troltuu.dk/content/Familiebilleder/msnverification-cginin/Boletin-de-verificacion-windows-live.rar" (NO DESCARGAR)---¿Que relación tendría el dominio troltuu.dk con microsoft? NADA!!! Ahora analicemos el correo un poco mas técnico... .-Primeramente me fui a donde estaba el correo y le di clic derecho y le di a donde dice "Ver código Fuente del Mensaje", eso me mostraría el código fuente donde podría ver ciertas cosas... http://www.neobits.org hecky Análisis a correo malicioso en Hotmail 1.-Primeramente, el correo remitente que me envió el correo era: [email protected] si yo pongo en la barra de dirección del navegador microsoft.windowslive.com veo que ese subdominio de windowslive NO EXISTE!!! Osea que este es una dirección de correo FALSA... 2.-Veo en una parte del código del correo que dice "Received: from bmf.hostnet.nl ([91.184.8.36])" De ahí se envió...Entonces lo que hago es meterme a ese lugar bmf.hostnet.nl y me encuentro con esto; 3.-En la parte de “Responder a”..Esta VACIO..."Reply-To:"---Esto se debe a que en los correos falsos, no se pone un remitente, por que el correo no existe.. http://www.neobits.org hecky Análisis a correo malicioso en Hotmail 4.-Las imágenes que se usan en el correo las podemos ver almacenadas en los siguientes links; "http://ads1.msn.com/ads/pronws/CIQ/HMML/Microsoft.gif","http://ads1.msn.com/ads/pronws/CIQ/H MML/es/WLMemberLetterBanner_es.jpg","http://ads1.msn.com/ads/pronws/CIQ/HMML/WLMember LetterFooter.jpg","http://ads1.msn.com/ads/pronws/CIQ/HMML/clear.gif" 5.-Al DESCARGAR EL "BOLETIN", SE NOS DESCARGA UN RAR (¿POR QUE UN RAR?>>Por QUE SI TRAE UN EXE,HOTMAIL SEGURAMENTE LO CLASIFICARIA COMO PELIGROSO(MALWARE) Y EL RAR OFRECE LA COMPRESION) y dentro del rar viene un EXE (¿QUE RARO NO?) Bueno realmente se puede seguir analizando...Lo que seguiría seria analizar que hace el "Boletín" (el ejecutable que es malware) en una maquina virtual...Lo iba a hacer, pero no tenia un windows en que probarlo :S...Lo que habría que analizar es que tipo de conexión abrirá...Que puerto abrirá...Que tipo de malware es...Si deja una backdoor, un keylogger, si va a hacer pharming, etc... IDENTIFICANDO UN CORREO ENGAÑOSO: Para identificar un correo engañoso varios factores nos ayudaran... 1.-Siempre hemos de sospechar de aquellos remitentes que desconozcamos 2.-Cuando recibamos un correo de una dirección que no conozcamos y queremos ver si es “legitimo el correo” lo que debemos hacer es comprobar el dominio...Para esto copiaremos lo que esta después de la “@” (arroba) y lo pegaremos en la barra de direcciones... EJ. Si tengo el correo [email protected] lo que copiare sera ”microsoft.windowslive.com” como se muestra en la imagen...Y vemos que esa pagina NO EXISTE!!! lo que es un mal indicio de que ese correo sea legitimo: http://www.neobits.org hecky Análisis a correo malicioso en Hotmail 3.-Siempre que un correo traiga una imagen o un link al cual se pueda hacer click, debemos corroborar que ese enlace nos lleve a donde dice que nos llevara....Para ello debemos ponernos encima de ese enlace (SIN DAR CLICK) y ver en la parte inferior izquierda del navegador a donde dice que nos va a enviar... EJ: .-En el caso expuesto, pongo el cursor sobre el enlace y veo a donde me dirige: (Perdon por la calidad de la imagen :/ ) Y como puedo apreciar, el “Boletín de Seguridad” sera descargado desde la pagina “www.troltuu.dk”...¿Acaso tiene alguna relación esa pagina con Microsoft? NO!!! Ej2: .- Pondré como ejemplo el ultimo correo de SPAM que eh recibido en mi bandeja de entrada...Ese correo corresponde a la dirección de un remitente conocido y el correo es el típico “Alguien te ha eliminado en el MSN”...En este caso no hay link alguno, sino que usa una imagen..pero veamos a donde nos lleva exactamente....Nos lleva a www.mi-lista.net http://www.neobits.org hecky Análisis a correo malicioso en Hotmail Sin embargo esta pagina de mi-lista.net esta considerada como una pagina potencialmente peligrosa(ver la imagen), ya que es phishing y lo único que hará esa pagina es robarte las contraseñas...(El código fuente de la pagina es muy básico y feo xD La pagina no es mas que un simple formulario que captura las contraseñas de los Incautos e incrédulos que caen) Así que todos los que frecuentan estas paginas, ya saben por que es que les llega muchos SPAM(por que ustedes mismos regalan sus datos), por que luego dicen que les “robaron su cuenta de correo”,etc... http://www.neobits.org hecky Análisis a correo malicioso en Hotmail CONCLUSIÓN: El objetivo de este escrito, no es meramente técnico...Va dedicado a personas y usuarios normales, para demostrar que no se necesitan conocimientos avanzados ni técnicos, para poderse dar cuenta de un engaño...con el simple hecho de una falta de ortografía, puede desencadenar una sospecha... En cuanto a quien mando el correo, sinceramente creo que es un novato lammer que anda probando lo que aprende y haber quien cae...También lo felicito, por que por un momento me hizo caer redondito en su truco...(como consejo, para la próxima yo usaría un servicio tipo bit.ly o tinyurl.com para ocultar las URL) Espero esto sirva para que todos cuando reciban un correo, tengan curiosidad y puedan revisar si realmente es legitimo o se trata de malware... Saludos ;) P.D. En este link del CERT INTECO se detallan algunas opciones para analizar las URL de las paginas para saber si son seguras... www.cert.inteco.es/Proteccion/Utiles_Gratuitos/Analisis_URL Atte. Hecky [email protected] http://www.neobits.org hecky