Trucos para detectar fraude online en tu correo

fraude online - cabecera

Este artículo está categorizado como «Inbound Marketing», si te preguntas el porqué la respuesta es fácil: hay cientos o miles de formas de llevar tráfico a una web, lo que diferencia a la gran mayoría es que son como mínimo alegales y en muchos casos abiertamente perjudiciales. Este es un ejemplo de envío masivo de emails que tiene como objetivo crear una red de ordenadores zombi o bien directamente intentar el robo de credenciales o datos bancarios. Conocer la enfermedad ayuda a no contraerla, por lo que intento arrojar algo de luz sobre cosas que muchos usuarios hacen sin siquiera pensar antes en los posibles riesgos. No sé exactamente qué hace el applet Java del que hablo, si tuviera un entorno de pruebas aislado para esto lo sabría, pero piensa lo peor y acertarás: nadie echa horas así para no conseguir premios gordos… Este mensaje de ejemplo lleva en marcha hace pocos meses en Estados Unidos y está comenzando a hacerse global (ver datos Alexa al final).

La forma de conseguir credenciales, datos, controlar tu ordenador o llevar tráfico a una web es la siguiente:

  • Envío de emails
  • El mensaje contiene un enlace, que se espera que utilices
  • El enlace lleva a una página de relleno que contiene el fin último del proceso: robarte o utilizarte

El anzuelo

Ahora te cuento unos detalles sobre el mensaje trampa y luego lo desmontamos por piezas:

La lógica de la trampa

En la ilustración del email que uso como ejemplo se sigue la siguiente lógica, para que te metas un poco en la cabeza del ladrón:

  • El envío de correo sigue una aparente segmentación, puesto que me ha llegado por vía formulario web desde una de mis webs y la redacción busca claramente a un perfil webmaster, es decir que cuentan que quien lea el mensaje dispone de páginas web que podría querer monetizar.
  • El contenido del mensaje contiene el enlace hacia la herramienta que el ladrón usará para llegar a sus objetivos, se presupone que el receptor del email va a visitar la dirección sugerida por simple ingeniería social: lo que te proponen es demasiado bueno como para no investigar mínimamente (ahí se nutren de la ambición desmesurada del ser Humano :)
  • La página a la que llegas al seguir el enlace tiene aspecto corporativo, pero si te entretienes a echar un vistazo ves rápidamente que hay truco: esta web es tan falsa como los pueblos del «Far West» de Almería. De hecho toda la web se compone de una única página de aterrizaje que contiene el complemento Java encargado de meter la mano en tu cartera (o en tus datos , que viene a ser lo mismo) o bien de convertir tu flamante ordenador en un agente durmiente que esperará pacientemente la orden para, un día, tumbar un servidor web del gobierno o alguna empresa, según quién pague al ciberdelincuente que se ha metido en tu ordenador.

La web que ves a continuación no tiene más que una dirección válida, la que contiene el complemento Java, todos los enlaces que pueden verse apuntan a ninguna parte (#)

Desmontando el mensaje

Como habrás podido apreciar he numerado partes del contenido del mensaje, incluyendo campos externos al propio cuerpo del mensaje pero que suelen ser críticos para detectar posibles peligros, vamos a recorrer esas partes resaltando lo que debemos buscar como señal de alerta.

  1. La fecha y hora de envío de los mensajes debe ser coherente con el propio mensaje, si se trata de un mensaje claramente masivo puede ser irrelevante porque se suelen enviar desde envíos programados y se utilizan horarios valle, cuando los servidores de correo tienen menos trabajo. En este caso, dudo mucho que alguien en una zona horaria próxima a la mía (en teoría Rep. Checa) me mande un mensaje de prospección de webs para emplazamiento publicitario a la 1 de la madrugada.
  2. Nombres y apellidos de la persona de contacto que no parecen autóctonos del supuesto país de origen, evidentemente hay gente con padres de distintos países y seguro que todos conocemos a gente con apellidos británicos, alemanes, etc. Pero esta señal es complementaria a las demás, si hay razones para creer que el mensaje es falso, un nombre anglófono en una empresa checa no hace más que aumentar la señal; los servidores que se encargan de crear mensajes o distribuirlos tienen un sistema que les ayuda a crear nombres de personas en base a permutaciones de listas de nombres y apellidos: evidentemente la mayoría de listas del mercado deben ser anglófonas, pusto que es el idioma universal que mueve mayor poder adquisitivo por persona objetivo en término medio. Un ejemplo típico de este truco son los perfiles falsos de LinkedIn, donde usuarios de paises como Pakistan o la India se hacen pasar por ejecutivos de supuestas grandes agencias internacionales, ahí abundan los «Ken Smith», «Johnn Peterson» y otros…
  3. La escritura formal del mensaje y sus posibles errores ortográficos y gramaticales ayudan a evaluar la autenticidad del mensaje, si bien no conocer el inglés impide pasar este filtro, voy a suponer que tenemos nociones básicas. Siempre tienes traductores automáticos, aunque entonces sí que puedes malfiar hasta de mí :)
    El caso es que en el ejemplo hay cosas que me llaman la atención en apenas 2 líneas, «representing the advertising department of the LLT Consulting company» no es algo que se lea en los emails ingleses serios, porque me habla en un tono grandilocuente y aparentemente corporativo cuando luego existen indicios que desmontan esa supuesta importancia; también me lama la atención que digan «your websites» cuando la web desde la que procede el formulario de contacto no sugiere que tenga un conjunto de ellas y si se hubieran seguido los enlaces hacia las otras, que las hay, no se me hubiera enviado el formulario desde una que claramente no me representa como perfil webmaster.
  4. El gancho siempre ofrece algo simplemente demasiado bueno como para ser cierto, en este caso me ofrecen ganar «hasta $950/mes» por poner banners publicitarios en mis webs y el gancho siempre tiene bien cerca un enlace que te llevará hacia esa gran oportunidad. De esta forma tan simple te empujan a seguir un enlace que tal vez sea peligroso para tu seguridad cibernética y que seguro que reporta algún beneficio al spammer (mejor sería decir scammer) desde el momento en que aterrizas en su página de destino, ya sea en forma de cobro por impresiones de anuncios, generar tráfico hacia una web o lo que sea. El hecho de que no haya publicidad alguna en la página destino del ejemplo me hace presuponer que es más peligrosa de lo que incluso digo en estas líneas. Y es raro que se use Java en estos casos, es más común en foros y comunidades online cutres que usan Java para tomar control de tu cámara y/o micrófono, lo que me hace pensar de nuevo que dar permiso a ese Java en concreto que se abre en la página de destino tiene que ser chungo de narices!
  5. La firma del mensaje carece de todos los atributos típicos de alguien que intenta de verdad venderte algo o conseguir algún tipo de beneficio o ventaja comercial; cuando llegues a tu oficina revisa tu correo y mira las firmas de los últimos 5 mensajes enviados por contactos o clientes de otras empresas: nombre, cargo, teléfono fijo y móvil, email de respuesta, dirección de la web e incluso perfiles sociales, códigos QR o esos lamentables textos medioambientales que dicen que no imprimas ese mensaje (claro, por eso el director de la compañía lleva un coche con muchos cilíndros que escupe 350 gramos de CO2 por kilómetro).

Algunos datos técnicos superficiales pero indicativos (datos extraídos de WhoIs)

  • IP actual de la web 5.101.107.224
  • Localizada en Amsterdam, Países Bajos (Digital Ocean AS200130)
  • Dominio creado en 2013 y renovado anualmente (2 años de antigüedad en 5 de Abril 2015)
  • Debe ser un servidor dedicado con IP propia, hay 2 webs alojadas en él, siendo el segundo dominio cstats.cf
  • Se han registrado nada menos que 79 cambios en los datos WhoIs en apenas 2 años
  • En 2 años ha saltado de IP 4 veces, siendo la actual la quinta IP
  • Se han registrado 6 cambios de name servers en 12 años
  • En los últimos 3 meses la web tiene un ranking Alexa elevado: 135.403 (es decir que la campaña de spam/scam tiene mucho éxito)
  • La web tiene un sólo link saliente y eso es porque apunta al complemento Java, parece ser que no hay links entrantes
  • Consta un tal Patrik Novak y hay incluso teléfono, pero yo no perdería el tiempo con eso…

1 comentario

¿Cuál es tu opinión?

Tu cuenta de correo no se hará pública.

¡Pon tu web a trabajar ya! Contacta hoy sin compromiso