Todos hemos oído hablar del término phishing en algún momento. Incluso la gran mayoría de nosotros hemos recibido alguna vez sin llegar a ser conscientes un mensaje de phishing. Pero, ¿qué es el phishing? Según la Wikipedia «Phishing es un término informático que denomina a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo revelar información confidencial o hacer click en un enlace).» Vamos, que te ponen un cebo para que piques y robarte tus datos.
Seguro que alguna vez hemos recibido algún mensaje de «nuestro banco», de un servicio de paquetería para que confirmemos la llegada de un paquete (que no hemos pedido), etc. De hecho, si miramos en la carpeta de spam de nuestro correo veremos alguno. Y como no hay mejor manera para comprender las cosas que analizándolas, vamos a ponernos manos a la obra.
La siguiente imagen es un ejemplo de un correo fraudulento haciéndose pasar por FNAC diciendo que hay una factura pendiente (spoiler: la compañía FNAC no tiene nada que ver con este correo fraudulento, en todo caso ellos son una víctima más). Si obviamos el mensaje de «¿Por qué está en Spam…?» que por suerte ha detectado nuestro gestor de correo, todo lo demás podría parecer legítimo. Vemos que es un correo @fnac.es, viene una dirección de contacto, un número de teléfono…
Si nos ponemos analizar el correo, llama la atención una serie de cosas. Por un lado, el mensaje de urgencia. Empieza con un mensaje de «Atencion!» (sin tilde en la o) que ya intenta reclamar nuestra atención (con tilde en la o). Nos advierten de que tenemos una factura sin pagar y que si no queremos que aumente la situación, debemos hacerlo cuanto antes (si leemos bien la frase, hasta cuesta entender). Nos hablan de usted por un lado y por otro nos tutean (tutear, no twittear). Y ya por no hablar faltas de ortografía: ausencia de tildes, «Espana» en lugar de «España» en la dirección… Deberían contratar a un corrector ortográfico estos de FNAC… Tampoco nos viene una ciudad en la dirección. Y el teléfono tiene prefijo 973, que es de Lleida. Bueno, podría ser que el operador que me envía la factura sea de ahí (ya hemos averiguado la ciudad, que no venía en la dirección. Menos mal que nos tienen a nosotros).
Por otro lado, el correo no es muy personalizado: «Estimado Cliente» + dirección de correo (la he borrado, no vaya a ser que me reclamen más facturas). Si de verdad tengo una factura pendiente, podrían dirigirse a mi por mi nombre, ¿no?
Más cosas: la dirección de correo desde donde se «envía», contacto50681076@fnac.es, no es una dirección tipo «administración» o «facturas», pero bueno, podríamos pensar que es de un operador. Pero como ya sospechamos, vamos a ver un poco más de detalle y vamos a ver el mensaje original.
Hmmmmm…. Vemos que el Message-Id no tiene nada que ver con la dirección que aparece en el From. Y el Return-Path igual…. ? A ver si va a ser esto una estafa…
Pero… ¿y si de verdad fuera una factura que tengo pendiente? Vamos a ver el PDF por si acaso… Ponemos nuestro ratón sobre el enlace para pinchar y… Hmmm, un momento…
La dirección del enlace no lleva al dominio de fnac (https://la-xanh.org/….), aunque también pone fnac.es al final… ¿Sabéis qué os digo? Que no recuerdo haber comprado nada en FNAC como para tener ninguna factura pendiente. ¡Paso de pinchar!
Bueno, creo que queda claro cómo podemos averiguar de forma fácil si estamos ante un correo de phising o no. Y qué es lo que NUNCA debemos hacer: pinchar en ningún enlace que creamos sospechoso y no tengamos clara la su procedencia.
Pero como a mi me pica la curiosidad, tengo ganas de saber más ?. Por lo pronto, solo viendo la dirección del enlace ya podemos sospechar que detrás hay un wordpress (por lo del wp-admin, que resulta que es el acceso a la consola de administración de wordpress). Y después hay una ruta «css», por lo que diría que me quieren poner una hoja de estilos especial, la cual va a ser la que esté preparada para fnac con mi cliente. Vamos, que al final te diriges a la pantalla de login de un wordpress con apariencia de ser la pantalla de login de fnac para que metas tu usuario y contraseña, ellos almacenen el intento de login fallido y ya te han robado tus credenciales de acceso a fnac. Y a partir de ahí… pues todos los datos que tengas dentro del portal de fnac legítimo.
Bueno, vamos a comprobar si estoy en lo cierto. Como no quiero pinchar directamente sobre el enlace pq no sabes realmente lo que hay detrás, y tampoco quiero dejar una huella de desde donde me estoy conectando, me voy a levantar una pequeña instancia EC2 en amazon y vamos a hacer un curl para ver lo que hay tras de la caja número 1.
$ curl https://la-xanh.org/wp-admin/css/--/https:/www.fnac.es/?cliente=batman@gotham.city > fnac.htmlSi miramos ahora el código html veremos que no hemos tenido suerte. «Oops! That page can’t be found.» Vaya, parece que he llegado tarde y no voy a poder pagar mi factura, la campaña ha terminado.
Viendo el footer de la página, parece que el sitio web es de Vietnam. Bueno, supongo que ya se puede entender lo de las faltas de ortografía, aunque me inquieta, porque hasta el google translate te pone las tildes.
Pues ya estoy yo con la mosca detrás de la oreja. Haciendo un poco de uso de Google, voy a aprovechar y usar el Google translate para traducir la página y ver lo que hay detrás realmente.
Joder, pues… no me parece que sean unos delincuentes. Más bien parece una ONG de ayuda a niños vietnamitas. Diría que debieron hackear el wordpress de esta ONG y aprovechar para hacer una campaña de phishing. Así evitan tener una conexión directa.