Una campaña de
phishing que utilizaba certificados SSL para suplantar webs de Office 365 y
capturar pulsaciones de teclado, ha afectado a varias organizaciones de ayuda
humanitaria.
La campaña estaría
utilizando certificados SSL para firmar páginas de phishing dirigidas contra
las Naciones Unidas, Cruz Roja estadounidense, UNICEF, Programa Mundial de
Alimentos y diversas organizaciones de ayuda humanitaria. Las páginas de
phishing simulaban ser páginas de login de Microsoft Office 365.
¿Dónde está la
novedad? Que esta vez la campaña detectaba los teléfonos móviles y una vez que
los detectaba, se activaba la función de registrar y capturar lo que el usuario
escribía en su teclado. A este ataque se le denomina Keylogger.
Esto ha sido posible
gracias a código JavaScript que permitía identificar si se estaba utilizando un
teléfono móvil para visualizar el contenido y si así era, mostraba un contenido
específico en cada caso. Además, los investigadores también se dieron cuenta
que los navegadores web móviles, también ayudan involuntariamente a ofuscar las
URL de phishing al truncarlas, lo que dificulta a las víctimas verificar la
legitimidad de las páginas.
Los propios
investigadores de Lookout hicieron mención a que este ataque demuestra cómo los
teléfonos móviles se han convertido en un objetivo cada vez más emergente. Los
investigadores alegan a que, en parte, puede deberse a las políticas de «Trae
tu propio dispositivo» (Bring Your Own Device: BYOD), pues hace difusa la
delgada línea entre «lo personal y lo profesional».
La función de
registrar lo que se introduce por teclado residía en el campo de la contraseña
de las páginas de login, de tal forma que con un simple JavaScript, se podría
guardar lo que el usuario ha introducido, en este caso su contraseña.
El simple hecho de
que ataques de este tipo hayan conseguido afectar a UNICEF, ONU o la Cruz Roja
estadounidense demuestra cómo ha evolucionado el phishing y cómo se está
sofisticando. Para este caso, el phishing era efectivo gracias a que el propio
código de la página detectaba si se trataba o no de un smartphone y en la
confianza que los usuarios tienen hacia el «candado verde» que solemos ver en
las webs que visitamos.
No obstante, que una
web tenga el «candado verde», no implica que sea segura, sino que los datos
viajan (en tránsito) cifrados. Para ejemplificarlo mejor, hemos desarrollado
una pequeña demo que puede ser muy similar al ataque que estamos exponiendo.
Para este caso, se ha
creado una web de login muy simple a la que se le ha añadido un certificado SSL
de Let’s Encrypt. Let’s Encrypt es un tipo de certificado SSL gratuito que
cualquiera pued einstalar en su servidor utilizando el certbot y especificando su
dominio. Su instalación es sencilla, rápida y totalmente gratuita, lo que
demuestra que, no por tener un candado verde en la web, implica que la web sea
segura «per se».
Al introducir los
datos, registra todo lo que escribimos (incluida la tecla de Enter) en un
archivo que se ha especificado previamente. Este ejemplo es una evidencia más
de cómo de fácil lo pueden tener los cibercriminales a la hora de elaborar sus
ataques para obtener información personal o confidencial.
Por otro lado, gran
parte de los certificados emitidos por el creador de esta campaña de Phishing
contra organizaciones de ayuda humanitaria ya han están caducados.
Se recomienda que nunca
se introduzcan datos personales tales como contraseñas o tarjetas de crédito en
webs sospechosas o de las que no nos fiemos. Para garantizar que estamos ante
una web benévola, podemos comprobar que el certificado emitido sea realmente de
la entidad o de alguna entidad certificadora de fiar. En caso de seguir
teniendo dudas, siempre se puede consultar con la empresa u organización para
cerciorarnos de la validez de una determinada URL y además, alertar a la
empresa afectada de una posible campaña de phishing contra ellos.
Más información
U.N., UNICEF, Red
Cross Under Ongoing Mobile Attack https://threatpost.com/un-unicef-red-cross-mobile-attack/149556/
Fuente: Hispasec