Prueba de Concepto de Phishing “Patrocinado” por la misma Entidad Bancaria

Un saludo… En este corto post pretendo mostrar como podría realizarse toda una campaña de Phishing “patrocinado” por la misma entidad bancaria.

Cuando me refiero a lo de “patrocinado” es debido a que la propia entidad por medio de un “pequeño” error de bien sea: Diseño, Desarrollo, Implementación y/o Revisión olvidó un “detalle”. Este “pequeño error” podría convertirse en un completo dolor de cabeza para los responsables del mismo o de toda la entidad… Y por supuesto, para nosotros los usuarios :/

Aquí viene bien el post que realicé hace algún tiempo, donde dejaba la reflexión sobre: Finalmente… ¿Quiénes son los responsables de la (in)seguridad?

Veamos entonces:

Hace unos días recibí el típico email de phishing de la entidad bancaria de turno de cualquier delincuente informático que se dedique a esto… Nada fuera de lo común desde hace muchos años.

Normalmente visualizo este tipo de emails, pues por motivos laborales e investigativos me gusta enterarme de cómo van mejorando sus técnicas o si por el contrario se quedaron siempre en lo mismo. En este caso el email tenía un componente que alcanzó a alegrarme la noche. Pues ofrecía un componente que nunca había visto. La posibilidad de descargar un pequeño software por parte de la entidad para “proteger mi seguridad” mientras navego en mi banca en línea.

Para quienes disfrutamos del análisis de malware este componente obviamente llama nuestra atención, pues como dije anteriormente nunca había visto un phishing así… Siempre es el típico “clave bloqueada”, “cambio de clave”, “lo que sea con clave”, etc… En este mensaje se combinan dos componentes: Phishing y Malware.

“Desafortunadamente” para mi análisis, el enlace que prometía una descarga de malware, terminó siendo otro enlace más de phishing.

Y ya en este mismo se identificaban evidentes errores en diseño y funcionalidades. Desafortunadamente también, aunque dichos sitios estén repletos de errores no faltan los pobres incautos que siguen y seguirán cayendo en este tipo de fraudes.

Aun así, decidí explorar el sitio malicioso con el objetivo de encontrar en alguno de sus directorios y/o enlaces la opción de descargar el prometido “software de protección”. Antes de esto también navegué como si fuese uno de tantos incautos para tratar de identificar más errores y/o el mismo software.

Entre los errores más notorios se identifica la solicitud inmediata de la segunda clave. Esto NUNCA ocurre en el inicio principal de la entidad bancaria. No hay solicitud de preguntas secretas (una muy buena medida implementada por la entidad bancaria)

Al final de esto el sitio como era de esperarse nos envió mediante un redirect a la página real de inicio de sesión en la entidad. Práctica muy utilizada por los delincuentes informáticos para “despistar” a sus víctimas.

Bueno, nada fuera de lo normal en el típico phishing… Entonces, de qué va lo de Prueba de Concepto de Phishing “patrocinado” por la misma entidad bancaria?

Como es normal cuando recibo este tipo de correos (phishing bancario, correos, servicios) lo primero que hago es notificarlo por medio del equipo de Segu-Info.

¿Por qué no lo hago directamente a la propia entidad? Sencillo, estoy seguro que pocas veces obtendré una respuesta positiva sobre lo realizado. Además que el diseño del sitio NO permite una correcta navegación para visualizar el simple email para notificarles. A esto le podemos sumar que TODAS las entidades deberían tener un simple formulario VISIBLE en el que podamos realizar notificaciones de fallas, amenazas, sugerencias, etc… Esto es una realidad, ahora no solo los usuarios necesitan información de las sedes, horarios y servicios. Vivimos en una época en la que la inseguridad de la información está latente y presente en nuestro día a día.

Búsqueda por medio de Chrome+Google a un sistema de reporte de este tipo de prácticas maliciosas.

No hubo forma de hacer bajar ese scroll para visualizar correctamente el correo al que deberíamos enviar dichas notificaciones (incompatibilidad con el navegador :S )

Continuando con mi búsqueda en el portal sobre un apartado dedicado a la seguridad pude encontrar fácilmente una sección en la página principal para ello. (Muy buena medida)

En dicho portal es posible encontrar la más completa información sobre TODO lo relacionado con diferentes actividades maliciosas por parte de los delincuentes informáticos y comunes. Todo esto con el objetivo de educar y prevenir este tipo de técnicas delincuenciales dirigidas a nosotros los usuarios finales.

Justo allí es donde pude identificar el problema. Y claro está, la posibilidad de realizar una prueba de concepto de Phishing “patrocinado” que desafortundamente podría haber realizado un delincuente informático real para aprovecharse del mismo para engañar a los usuarios de la entidad y robar su dinero.

Desde la misma página de seguridad es posible visualizar varios botones que actualmente son muy comunes en las aplicaciones Web. Me refiero a los botones “sociales”, en este caso Facebook y Twitter.

Como se observa en la captura anterior, el botón de twitter de la propia entidad bancaria hace referencia a un perfil @bancolombia_ . Dicho perfil al momento de realizar la prueba NO se encontraba registrado. Pues el perfil oficial de dicha entidad es @Bancolombia

Así que decidí realizar la prueba de concepto. En la cual iba a crear una cuenta con nombre @bancolombia_ cambiar la imagen avatar de la misma, e incluirle el texto “Twitter NO oficial de Bancolombia.” Inclusive a la imagen le agregué el texto: “PoC Cuenta Phishing”

Dicho perfil a la fecha se observa de la siguiente manera:

Ahora bien… Y como decía en el post. Finalmente… ¿Quiénes son los responsables de la (IN)seguridad? en este caso, NO vale decir que no hagamos clic en enlaces que no sean los propios de la entidad. Pues la propia entidad es la que está enlazando un perfil “oficial” de la entidad en Twitter. Fácilmente el delincuente podría enviar enlaces desde allí a los usuarios seguidores del Twitter. Pues como vemos en solo 2 días, y sin un solo tweet y peor aun, explicando que NO es el oficial y que además es de Phishing, éste ya tiene 17 seguidores :/

Aquí si, la entidad si sería la responsable directa de cualquier fraude cometido por medio de la explotación de dicha falla. Pues como sabemos, por más que le digamos a los usuarios: No hagan clic en enlaces que no sean los propios de la página de internet (ingresar directamente desde el navegador), Cambien la clave regularmente, etc, etc. Los usuarios siempre vamos a fallar.

Como dato curioso durante la realización de la prueba de concepto recibí varias menciones en mi timeline gracias a una publicación que se hizo a modo de chiste por un tercero y este equivocó el nombre de usuario de la entidad y agregó el “_” a la misma. Dicha publicación alcanzó a tener varias interacciones por parte de varios amigos expertos en seguridad informática en mi país.

En el momento de realizar esta publicación envié un tweet desde dicha cuenta y mi cuenta personal a la oficial de la entidad, con el objetivo de que dicha falla sea solucionada.

Esperemos alguna notificación positiva al respecto. Desde este momento…