En varias oportunidades hemos cubierto en nuestro blog de laboratorio diferentes casos de phishing. Además se analizó un caso en el que implementaba una tecnología conocida como geolocalización, la cual permite determinar desde que país está accediendo la potencial víctima. Existe un nuevo caso de phishing sobre una conocida empresa de aerolíneas que está afectando a usuarios brasileños, y que utiliza justamente la mencionada técnica.
Este sitio de phishing en particular implementa la geolocalización como mecanismo para impedir el ingreso de aquellos usuarios que se encuentren fuera de Brasil. De esta forma, se torna más complejo detectar estos sitios fraudulentos además de apuntar a aquellos usuarios que realmente son de importancia para el ciberdelincuente. En la siguiente captura puede observarse el mensaje de “prohibido” que es mostrado en el caso de que el usuario se encuentre fuera del país:
Debido a este tipo de limitación, se procedió a acceder al sitio utilizando un proxy de Brasil para poder saltar la protección y esta vez tener acceso al propio sitio engañoso. En la siguiente captura puede visualizarse su portada:
Existen una serie de factores que llaman la atención. En primera instancia, el sitio cuenta con un panel de búsqueda de vuelos, el cual dispone de funcionalidad completa. En otras palabras, si se realiza una búsqueda sobre ese formulario se produce una redirección al sitio original con los datos cargados en el formulario y a continuación se ejecuta la propia búsqueda sobre el servidor legítimo. Esta es una de las formas que utilizan los ciberdelincuentes para no despertar sospechas en el usuario. El formulario puede observarse en la siguiente imagen:
Sin embargo, la finalidad de este sitio falso radica en el formulario donde se le solicita al usuario una serie de datos críticos para poder participar de un supuesto sorteo. A continuación puede visualizarse una imagen de este formulario:
El supuesto concurso promete sortear 200.000 puntos diarios que pueden ser canjeados por productos e incluso por vuelos nacionales e internacionales. Sin embargo, para participar de este sorteo se debe ingresar el “número de fidelidad” (número de asociado que permite gozar de beneficios), la “firma electrónica” y el “rescate” (cuatro o cinco dígitos para certificar que es el cliente quien utiliza los puntos). Es decir, con esta información el ciberdelincuente podría tener acceso a los puntos que posee la víctima en la empresa de aerolíneas.
Se realizó un análisis del tráfico generado para determinar que acciones lleva a cabo este sitio de phishing una vez que se ingresan los datos requeridos para el supuesto sorteo. Específicamente, se realiza la conexión a otro servidor remoto donde la información es procesada a partir un archivo PHP dentro del mismo. Posiblemente recopile la información y la almacene de alguna forma para el posterior acceso por parte del ciberdelincuente. En la siguiente imagen puede observarse la propia información del tráfico de red:
Si se accede a ese servidor, específicamente a la carpeta log, se listan tres archivos PHP. Estos archivos, puede que sean utilizados para procesar la información robada a través de diferentes campañas. La siguiente imagen muestra los mencionados archivos:
Esta campaña combina, entonces, métodos de geolocalización y redirección al sitio legítimo para poder preservar en línea durante más tiempo al sitio de phishing. De esta forma, el atacante se asegura de obtener los datos de aquellos usuarios que realmente son de su interés y minimiza la posibilidad de ser detectado. Debido a este tipo de situaciones, es recomendable contar con alguna solución de software con capacidad de detección proactiva que permita estar protegido contra este tipo de amenazas. La educación, es además, un pilar fundamental que el usuario debe contemplar para poder complementarla con las mencionadas tecnologías. Asimismo, se le recomienda al usuario leer nuestra guía sobre cómo detectar correos falsos para evitar caer en este tipo de sitios fraudulentos.
Fernando Catoira
Analista de Seguridad