Hacia fines de julio publicamos un artículo sobre una campaña de sextorsión que se propaga a través del correo electrónico, en el que llega el correo de un remitente desconocido con la contraseña del usuario en el asunto del mensaje, y con la clara intención de captar rápidamente la atención de la víctima y hacerle creer que el atacante posa su información.
De manera similar, en los últimos días hemos detectado una campaña a través del correo, que aún está activa, y que tiene la particularidad de que el mensaje llega al usuario fue enviado desde su propia cuenta. Que el atacante tiene acceso a su cuenta .
A través de un mensaje intimidatorio como el que se muestra una continuación, se le hace creer al usuario que su computadora ha sido infectada con un troyano y que ahora el atacante posee su información confidencial. El objetivo final del correo es una estafa, donde se solicita un pago a la potencial víctima.
Imagen 1: Correo electrónico recibido por los usuarios.
Recogimos diversos informes de usuarios que se han recibido este mensaje, por lo que han decidido realizar esta publicación y explicar de una manera sencilla la manera en que se lleva un cabo este engaño.
Suplantación de cuentas de correo mediante spoofing
La clave de la campaña se encuentra en la dirección desde la cual está siendo enviado el correo. Mediante una técnica conocida como spoofing , el atacante hace creer a la víctima que el correo ha sido enviado desde su propia cuenta de correo, buscando la verdad que ha sido comprometida y se encuentra en el poder del atacante.
Imagen 2: El receptor y el remitente parecen ser la misma cuenta.
La técnica de suplantación es el protocolo de correo SMTP, ya que no se incluye un mecanismo de autenticación. Por lo tanto, si no se toman las medidas de precaución en la hora de configurar los servicios de correo electrónico, cualquiera puede enviar correos falsificados, que a simple vista parece ser una dirección o un dominio legítimo, pero que en realidad no corresponde con el emisor.
Para analizar esta problemática se revisan los registros SPF (Marco de políticas del remitente), ya que sirven para identificar uno o varios servidores para el envío de correos electrónicos. dado que el objetivo de este registro es identificar los correos electrónicos que han sido enviados desde los servidores de correo.
En el caso de estos correos fraudulentos recibidos por los usuarios, análisis de la cabecera de los mensajes recibidos muestra por correo electrónico enviado desde un servidor no autorizado para enviar correos del dominio de la víctima. Es decir, que se trata de un caso de suplantación.
Imagen 3: Cabecera del mensaje fraudulento.
Si bien hoy en día la mayoría de los servicios de correo utiliza los registros SPF para identificar correos fraudulentos, spam y para marcar como peligrosos o no deseados, lo cierto es que una buena práctica consiste en verificar las cabeceras de los correos para corroborar que La dirección del remitente es legítima.
Monetización de la campaña de extorsión.
Detrás de este tipo de campañas existe un propósito económico. Un cambio de borrar la información confidencial Supuestamente el atacante, se solicita un pago mediante el envío de Bitcoins.
Al revisar los movimientos de la billetera, se detectan las relaciones de los últimos días, como se puede apreciar en la siguiente imagen.
Imagen 4: Transacciones en la billetera virtual de los atacantes.
Hasta el momento de escribir esta publicación, la billetera contaba con 0.35644122 Bitcoins, equivalente a un poco más de 2.400 dólares, con un par de resultados durante los días que la campaña ha estado activa, lo que hace falta que algunas personas han caído en el engaño
Este tipo de campañas pueden arrastrar a muchas víctimas si no están atentas. En el caso de la campaña de sextorsión que estuvo activa en el mes de julio y que mencionamos el comienzo de este artículo, los cibercriminales lograron recaudar cerca del medio millón de dólares de las víctimas partes diferentes partes del mundo .
Campañas de extorsión utilizando Ingeniería Social
Después de revisar el modo de operación de la campaña de extorsión, corroboramos que se trata de una campaña de Ingeniería Social mediante la cual se busca engañar a los usuarios para que realicen un pago. Desde el Laboratorio de Investigación de ESET, recomendamos no responder los correos de este estilo y el sentido de que se trata de un engaño; Por supuesto, tampoco se debe pagar a los atacantes.
Además, es conveniente hacer caso omiso de este tipo de mensajes y aplicar las buenas prácticas en el uso del correo electrónico junto con otras recomendaciones, como cambiar las contraseñas de manera regular, utilizar las soluciones de seguridad en los equipos, así como habilitar las opciones de doble autenticación disponible en los diferentes servicios de internet.
[social_warfare]
