Como pueden "hackear" tu cuenta a través de mensajes directos de Twitter: Un Análisis Rápido

El problema de phishing, distribución de malware o cualquier otro tipo de ataque a través de redes sociales, se da en ocasiones porque las cuentas han sido comprometidas, tal y como le sucedio el día de hoy a la cuenta @MicrosoftPSNS

supongamos que no me entero de lo anterior y entonces .......

De manera inesperada me llega un DM de la cuenta @MicrosoftPSNS el cual se muestra en la pantalla siguiente:

 al analizar el mensaje y considerando que viene de una "fuente" confiable por que no averigüar quien esta hablando mal de mi......así que decido abrir el hipervínculo que se muestra dentro del mensaje

pues gran sorpresa nos llevamos cuando el dichoso hipervínculo nos manda a la página de twitter donde me dice que mi sesión ha caducado.. heyy espera, no me dejen con la curiosidad como es que se me cierra la sesión si apenas iba a descubrir hacia donde me llevaba el misterioso hipevínculo. 

Bueno no te sorprendas, el hipervínculo que abriste es un hipervínculo real, pero que NO te lleva a la página oficial de twitter, CUIDADO !! es una estafa, ya que como se comentaba al inicio la cuenta de @MicrosoftPSNS ha sido comprometido, dicho en terminos más coloquiales alguien (un delincuente informático regularmente) tomo el control de la cuenta para distribuir ese tipo de mensajes, checa con atención la dirección de la siguiente imagén

Te podrás dar cuenta que NO es la dirección oficial de twitter, se trata de un engaño…. realmente lo que están haciendo en dicha página es hacernos creer que se cerró la sesión de twitter justo antes de ver a donde nos llevaba el hipervínculo del mensaje para de esta manera (dado nuestro nivel de curiosidad) "obligarnos" a ingresar "nuevamente" los datos de usuario y password en esa página,  lo que sucede ralmente es que TUS datos los esta recibiendo el delincuente para posteriormente tomar posesión de tu cuenta y mandar mensajes a tu nombre, chantajearte para que puedas tomar control nuevamente de tu cuenta, entre otras acciones más.

Las recomendaciones que te hacemos:

1. Cuida donde ingresas tus datos. Verifica que la dirección en donde vas a ingresar tus datos realmente sea la dirección del servicio al que quieres acceder.
2. Antes de dar click a un hipervinculo que viene dentro de un mensaje sé un poco analítico, sobre todo cuando te llegan mensajes "extraños"
3. Ante la duda mejor pregunta o de plano mejor omite el mensaje.

Promovamos la cultura de la prevención del ciber delito, si crees que a alguien mas le puede servir esta aportación por favor compartelo.

Tu buzón a superado el límite- otro phishing scam desde España

Esta vez el correo viene de la Universidad de Oviedo, en España. Según los encabezados aparentemente el correo se origina en una dirección interna 192.168.100.15 que sirvió de enlace a una dirección externa 116.202.155.167. Esta última dirección es interesante, ya que pertenece a India. Luego los saltos intermedios son direcciones que pertenecen a la Universidad hasta que lo recibe bigfish.com.

El "mailer" en este caso es Sun Java System Messenger Express 7.3-11.01 32bit

Received: from FRESNO.NET.UNIOVI.ES (156.35.11.2) by CH1EHSMHS006.bigfish.com (10.43.70.6) with Microsoft SMTP Server id 14.1.225.23; Sat, 22 Sep 2012 02:59:27 +0000Received: from CONVERSION-DAEMON.fresno.net.uniovi.es by fresno.net.uniovi.es (PMDF V6.5 #31845) id <01OKJLRF40NK00N7KQ@fresno.net.uniovi.es> for micorreoen@upslp.edu.mx; Sat, 22 Sep 2012 04:56:56 +0200 (CET)Received: from frc5.sheol.uniovi.es ([156.35.2.182]) by fresno.net.uniovi.es (PMDF V6.5 #31845) with ESMTP id <01OKJLR9UH0E00OTUO@fresno.net.uniovi.es>; Sat, 22 Sep 2012 04:56:49 +0200 (CET)Received: from uniovi.es ([unknown] [156.35.2.182]) by frc5.sheol.uniovi.es (Sun Java(tm) System Messaging Server 7.3-11.01 32bit (built Sep 1 2009)) with ESMTP id <0MAQ00LG3DIKV100@frc5.sheol.uniovi.es>; Sat, 22 Sep 2012 04:56:44 +0200 (CEST)Received: from [192.168.100.15] (Forwarded-For: 116.202.155.167) by frc5.sheol.uniovi.es (mshttpd); Fri, 21 Sep 2012 20:56:44 -0600Date: Fri, 21 Sep 2012 20:56:44 -0600From: =?iso-8859-1?Q?=22JOSE_ALFREDO_MU=D1IZ_ALONSO=22?= <mual @ uniovi.es>Subject: (webmail Administrador) EspanolMessage-ID: <b6d3be0646b529f.505cd48c@uniovi.es>X-Mailer: Sun Java(tm) System Messenger Express 7.3-11.01 32bit (built Sep 1 2009)

Luego el mensaje, me dice que los 2 G que tengo asignados ya se acabaron! y esta cantidad no es la que tenemos disponible. La cuenta de la cual se origina el correo es de un técnico especialista en el área de Química, Física y Analítica de esa Universidad.

El mensaje viene firmado por (webmail Administrador), y la liga para dejar tus datos es una forma en google docs. El dia de hoy esta enlace ya fue desactivado.

En conclusión, el objetivo es obtener cuentas de universidades para seguir enviando este tipo de correos y robar más cuentas de universidades, y poder enviar también otro tipo de correos.

Recuerden no llenar formas en internet donde les piden su información del correo electrónico, su nombre de usuario y contraseñas. Y si a ustedes también les han llegado correos de este tipo, compártanlos para identificar donde se originan.

Vulnerabilidad 0day en Internet Explorer

Primero, una vulnerabilidad 0day es aquella para la cual no hay una solución disponible por parte del proveedor del software. Es decir es un problema sin solución al momento.

Luego de aclarar el punto, hay varia información en Internet sobre esta vulnerabilidad, y la recomendación es: Utilizar la versión 10 de este navegador, o utilizar algún otro navegador.

Según reportes las versiones 9 y anteriores de este navegador son vulnerables a este ataque cuando se visitan sitios web maliciosos o comprometidos, pudiendo tomar el control completo del equipo afectado.

La vulnerabilidad fue detectada en la función execCommand y permite la ejecución de código de forma remota.

Más información en:

• http://blogs.eset-la.com/laboratorio/2012/09/18/alerta-vulnerabilidad-0-day-internet-explorer
• https://community.rapid7.com/community/metasploit/blog/2012/09/17/lets-start-the-week-with-a-new-internet-explorer-0-day-in-metasploit
• http://www.ghacks.net/2012/09/18/new-internet-explorer-0-day-vulnerability-sept-2012/
• http://www.networkworld.com/community/blog/hackers-exploit-0day-kick-ie-curb-or-catch-nasty-poison-ivy-itch

"Tu cuenta de correo será cancelada". Analizando los origenes de un ataque de phishing.

Recientemente hemos recibido varios correos supuestamente de "Webmaster" donde nos invitan a validar nuestros datos de correo electrónico, se lee así:

La configuración del buzón ha caducado según lo establecido por el administrador para 2011, y usted no será capaz de recibir nuevos correos electrónicos hasta que lo revalidar ahora para 2012.

Para volver a validar su dirección de correo electrónico, haga clic en este enlace: hxxp://c0rreo4.webs.com/contactus.htm

Gracias y perdón por las molestias.
Webmail Administrador de Seguridad.

En este correo no nos urgen tanto como en otros, simplemente nos "amenazan" que no podremos recibir mas correos. Están utilizando una variación del ataque conocido como phishing by forms, donde utilizan sitios de formularios gratuitos, aquí los atacantes utilizan el servicio gratuito de webs.com para poner sitios de "Seguridad de Correo Web" donde solo utilizan la opción que les ofrece de crear un formulario para contactos. En este formulario solicitan el nombre, dirección de correo electrónico, contraseña, y verificación de la contraseña.

Los atacantes no solo utilizaban esta dirección, sino que tenían otros webs como
c0rreo, c0rreo1, c0rreo2, c0rreo3, c0rreo4, c0rreo5, c0rreo6, c0rreo7, c0rreo8, c0rreo9. Y en todos ellos tenían la misma plantilla y la misma forma de contacto.

** Estos sitios fueron congelados por un reporte de abuso que se envió a webs.com, y la respuesta fue menos de un día **


Recibimos dos correos en los últimos 30 días, los dos provenían de diferentes cuentas del mismo dominio de la Universidad de Guelph en Canada (uoguelph.ca).

Los encabezados de donde viajaron los correos:

Received: from esa-annu.mail.uoguelph.ca (131.104.91.36) by  AM1EHSMHS001.bigfish.com (10.3.207.101) with Microsoft SMTP Server id  14.1.225.23; Mon, 10 Sep 2012 21:45:50 +0000
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AiAFAPtdTlCDaFvM/2dsb2JhbABBBAYJhXiwW4V8AYIYMnkSAg0ZAkoYAwGGA4IZC5othk6Hc4pDiEWBIYlrKoR6gRIDgSCMWYdkgRSOK16CMQJPgUAeBQ
X-IronPort-AV: E=Sophos;i="4.80,400,1344225600"; d="scan'208";a="180984676"
Received: from huron.cs.uoguelph.ca (HELO zcs1.mail.uoguelph.ca) ([131.104.91.204])  by esa-annu-pri.mail.uoguelph.ca with ESMTP; 10 Sep 2012  17:43:46 -0400
Received: from zcs1.mail.uoguelph.ca (localhost.localdomain [127.0.0.1]) by  zcs1.mail.uoguelph.ca (Postfix) with ESMTP id 8FE0995A84; Mon, 10 Sep 2012  17:43:43 -0400 (EDT)
Date: Mon, 10 Sep 2012 17:43:43 -0400
From: Webmaster <yli16 @uoguelph.ca>
Reply-To: Webmaster <noreply@webmail.com>
Message-ID: <1995158053.2077968.1347313423437.JavaMail.root@huron.cs.uoguelph.ca>

Subject: =?utf-8?Q?Configuraci=C3=B3n_del_correo_electr=C3=B3nico_ha_caducado!?=
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-Originating-IP: [172.17.91.203]
X-Mailer: Zimbra 6.0.10_GA_2692 (zclient/6.0.10_GA_2692)

Received: from esa-annu.mail.uoguelph.ca (131.104.91.36) by  VA3EHSMHS005.bigfish.com (10.7.99.15) with Microsoft SMTP Server id  14.1.225.23; Fri, 31 Aug 2012 21:52:27 +0000
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AqMGADIxQVCDaFvO/2dsb2JhbABBBAYJhXWwOYVoAYIYMnkSAg0ZAkoYAwGGA4IWC5kxhk2Hc4o0iEWBIYloKoVFgRIDjXWHY4EUjihegi4CT4E+HgU
X-IronPort-AV: E=Sophos;i="4.80,350,1344225600";  d="scan'208";a="179814681"
Received: from erie.cs.uoguelph.ca (HELO zcs3.mail.uoguelph.ca)  ([131.104.91.206])  by esa-annu-pri.mail.uoguelph.ca with ESMTP; 31 Aug 2012  17:51:12 -0400
Received: from zcs3.mail.uoguelph.ca (localhost.localdomain [127.0.0.1]) by  zcs3.mail.uoguelph.ca (Postfix) with ESMTP id E21BEB4034; Fri, 31 Aug 2012  17:51:09 -0400 (EDT)
Date: Fri, 31 Aug 2012 17:51:09 -0400
From: Webmaster <vcraig @uoguelph.ca>
Reply-To: Webmaster <noreply@webmail.com>
Message-ID: <794991496.1400947.1346449869876.JavaMail.root@erie.cs.uoguelph.ca>
Subject: =?utf-8?Q?Configuraci=C3=B3n_del_correo_electr=C3=B3nico_ha_caducado!?=
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-Originating-IP: [172.17.91.201]
X-Mailer: Zimbra 6.0.10_GA_2692 (zclient/6.0.10_GA_2692)

 Lo mas interesante de esto es que se puede observar el proceso por donde viaja el correo, y que incluso es analizado por varios productos antivirus y antispam.

Las direcciones donde se originan los correos son internas de la organizacion, y se utiliza el cliente zclient/6.0.10_GA_2692, aunque utilizan diferentes servidores internos de correo, al final provienen de la misma organización. Luego son recibidos por bigfish, que ya pertenece a outlook, donde esta hospedado nuestro correo.

Si buscan en internet zclient/6.0.10_GA_2692 encontraran muchos datos relacionados a spam o scam.

El problema no es el servidor de correo, sino que utilizando las mismas tecnicas, los usuarios maliciosos obtienen información de cuentas validas de Universidades, que  luego utilizan para generar mas campañas. Y al utilizar servicios gratuitos en Internet, se exponen muy poco y pueden obtener grandes ganancias vendiendo las cuentas de correo y el acceso a ellas.

Recomendaciones:

1. No contestes formas en Internet donde te soliciten nombres de usuario y contraseñas, en caso de duda acude con el administrador de tu red a preguntar.
2. Si reconoces sitios que te piden esta información, reportalo con el administrador de tu red, o reportalos tu mismo como abuso en el sitio donde esta hospedada la forma.
3. Si tienes oportunidad contacta al administrador de la otra red para avisar de las cuentas comprometidas, y considera incluir los encabezados de los correos. 

Objetivo:
Difundir noticias e investigación desarrollada por el grupo de Infosec de la Universidad Politécnica de San Luis Potosí.

Bienvenidos