Una campaña de phishing que utilizaba certificados SSL para suplantar webs de Office 365 y capturar pulsaciones de teclado, ha afectado a varias organizaciones de ayuda humanitaria.
La campaña estaría utilizando certificados SSL para firmar páginas de phishing dirigidas contra las Naciones Unidas, Cruz Roja estadounidense, UNICEF, Programa Mundial de Alimentos y diversas organizaciones de ayuda humanitaria. Las páginas de phishing simulaban ser páginas de login de Microsoft Office 365.
¿Dónde está la novedad? Que esta vez la campaña detectaba los teléfonos móviles y una vez que los detectaba, se activaba la función de registrar y capturar lo que el usuario escribía en su teclado. A este ataque se le denomina Keylogger.
Esto ha sido posible gracias a código JavaScript que permitía identificar si se estaba utilizando un teléfono móvil para visualizar el contenido y si así era, mostraba un contenido específico en cada caso. Además, los investigadores también se dieron cuenta que los navegadores web móviles, también ayudan involuntariamente a ofuscar las URL de phishing al truncarlas, lo que dificulta a las víctimas verificar la legitimidad de las páginas.
Los propios investigadores de Lookout hicieron mención a que este ataque demuestra cómo los teléfonos móviles se han convertido en un objetivo cada vez más emergente. Los investigadores alegan a que, en parte, puede deberse a las políticas de «Trae tu propio dispositivo» (Bring Your Own Device: BYOD), pues hace difusa la delgada línea entre «lo personal y lo profesional».
La función de registrar lo que se introduce por teclado residía en el campo de la contraseña de las páginas de login, de tal forma que con un simple JavaScript, se podría guardar lo que el usuario ha introducido, en este caso su contraseña.
El simple hecho de que ataques de este tipo hayan conseguido afectar a UNICEF, ONU o la Cruz Roja estadounidense demuestra cómo ha evolucionado el phishing y cómo se está sofisticando. Para este caso, el phishing era efectivo gracias a que el propio código de la página detectaba si se trataba o no de un smartphone y en la confianza que los usuarios tienen hacia el «candado verde» que solemos ver en las webs que visitamos.
No obstante, que una web tenga el «candado verde», no implica que sea segura, sino que los datos viajan (en tránsito) cifrados. Para ejemplificarlo mejor, hemos desarrollado una pequeña demo que puede ser muy similar al ataque que estamos exponiendo.
Para este caso, se ha creado una web de login muy simple a la que se le ha añadido un certificado SSL de Let’s Encrypt. Let’s Encrypt es un tipo de certificado SSL gratuito que cualquiera pued einstalar en su servidor utilizando el certbot y especificando su dominio. Su instalación es sencilla, rápida y totalmente gratuita, lo que demuestra que, no por tener un candado verde en la web, implica que la web sea segura «per se».
Al introducir los datos, registra todo lo que escribimos (incluida la tecla de Enter) en un archivo que se ha especificado previamente. Este ejemplo es una evidencia más de cómo de fácil lo pueden tener los cibercriminales a la hora de elaborar sus ataques para obtener información personal o confidencial.
Por otro lado, gran parte de los certificados emitidos por el creador de esta campaña de Phishing contra organizaciones de ayuda humanitaria ya han están caducados.
Desde Hispasec recomendamos que no se introduzcan datos personales tales como contraseñas o tarjetas de crédito en webs sospechosas o de las que no nos fiemos. Para garantizar que estamos ante una web benévola, podemos comprobar que el certificado emitido sea realmente de la entidad o de alguna entidad certificadora de fiar. En caso de seguir teniendo dudas, siempre se puede consultar con la empresa u organización para cerciorarnos de la validez de una determinada URL y además, alertar a la empresa afectada de una posible campaña de phishing contra ellos.
Más información
U.N., UNICEF, Red Cross Under Ongoing Mobile Attack
https://threatpost.com/un-unicef-red-cross-mobile-attack/149556/
CONCLUSIÓN ALUMNOS 2º SMR COLEGIO LA SALLE SAGRADO CORAZÓN:
El simple hecho de que ataques de este tipo hayan conseguido afectar a UNICEF, ONU o la Cruz Roja estadounidense demuestra cómo ha evolucionado el phishing y cómo se está sofisticando. Nos ha sorprendido que se puedan utilizar fraudulentamente certificados SSl que nos daban cierta seguridad.