Análisis de ataques a un sistema de correo electrónico por medio de mensajes que incluyen contenido alterado de forma maliciosa Egdares Futch H.

Introducción La comunicación por correo electrónico como la conocemos se originó en ARPANet en 1971. Dos computadores de BBN Concepto de usuario remoto @ vs. Local Diseño de protocolos de comunicación Redes de acceso limitado Entidades académicas y laboratorios de investigación Usuarios muy calificados, en un ambiente propicio para compartir información

La comunicación por correo electrónico como la conocemos se originó en ARPANet en 1971.

Dos computadores de BBN

Concepto de usuario remoto @ vs. Local

Diseño de protocolos de comunicación

Redes de acceso limitado

Entidades académicas y laboratorios de investigación

Usuarios muy calificados, en un ambiente propicio para compartir información

Introducción Los primeros protocolos establecidos para la comunicación en el Internet, como Telnet, FTP, DNS y SMTP se basaron en: Entorno de servidores autónomos Sin consideraciones de seguridad Estaciones de trabajo interconectadas por redes locales Las condiciones iniciales ya no son aplicables ahora! Millones de computadoras Millones de redes Millones de usuarios neófitos

Los primeros protocolos establecidos para la comunicación en el Internet, como Telnet, FTP, DNS y SMTP se basaron en:

Entorno de servidores autónomos

Sin consideraciones de seguridad

Estaciones de trabajo interconectadas por redes locales

Las condiciones iniciales ya no son aplicables ahora!

Millones de computadoras

Millones de redes

Millones de usuarios neófitos

Ingeniería social automatizada: mensajes de correo electrónico maliciosos Ingeniería social es una técnica de recuperación de información de terceros a través de interacciones personales, que se aprovechan de relaciones de confianza. Dumpster diving El gerente enojado La llamada de Sistemas En esta investigación, se estudia cómo explotar una relación de confianza por medio de un correo electrónico que supone proviene de un emisor confiable, operando en conjunto con un sitio Web falso.

Ingeniería social es una técnica de recuperación de información de terceros a través de interacciones personales, que se aprovechan de relaciones de confianza.

Dumpster diving

El gerente enojado

La llamada de Sistemas

En esta investigación, se estudia cómo explotar una relación de confianza por medio de un correo electrónico que supone proviene de un emisor confiable, operando en conjunto con un sitio Web falso.

Ingeniería social automatizada: mensajes de correo electrónico maliciosos La práctica de la Ingeniería Social por medios automáticos se ha llamado phishing. Derivado de la palabra fishing en inglés, suplantando la f por el sonido ph que es utilizado en la jerga de los hackers. Un “homenaje” a la técnica del phreaking

La práctica de la Ingeniería Social por medios automáticos se ha llamado phishing.

Derivado de la palabra fishing en inglés, suplantando la f por el sonido ph que es utilizado en la jerga de los hackers.

Un “homenaje” a la técnica del phreaking

Prueba de concepto: ambiente de pruebas Servidor phish, suplantando al servidor (inexistente) de Banco Virtual de Honduras Sistema operativo Linux Red Hat AS4 Máquina virtual VMware Servidor Web Apache Servidor de correo Dovecot Servidor de correo Sendmail (MTA – Mail Transfer Agent) Clientes de correo (Mail User Agents) Outlook Express Squirrel Mail Gmail Yahoo! Mail

Servidor phish, suplantando al servidor (inexistente) de Banco Virtual de Honduras

Sistema operativo Linux Red Hat AS4

Máquina virtual VMware

Servidor Web Apache

Servidor de correo Dovecot

Servidor de correo Sendmail (MTA – Mail Transfer Agent)

Clientes de correo (Mail User Agents)

Outlook Express

Squirrel Mail

Gmail

Yahoo! Mail

Copia del servidor Web original Copia fiel hecha con herramientas disponibles públicamente Se alteró el código para presentar una página Web falsa, que captura los passwords de los usuarios que caen en la trampa. Demostración

Copia fiel hecha con herramientas disponibles públicamente

Se alteró el código para presentar una página Web falsa, que captura los passwords de los usuarios que caen en la trampa.

Demostración

Creación del mensaje malicioso Se preparó un mensaje orientado a engañar al receptor Gráficos formales de la marca o sitio que se ataca Enlaces directos y visibles al sitio phish Contenido que induzca un sentido de urgencia en el receptor Código HTML dentro del mensaje que se aproveche de fallas de los clientes de correo (MUA). Demostración

Se preparó un mensaje orientado a engañar al receptor

Gráficos formales de la marca o sitio que se ataca

Enlaces directos y visibles al sitio phish

Contenido que induzca un sentido de urgencia en el receptor

Código HTML dentro del mensaje que se aproveche de fallas de los clientes de correo (MUA).

Demostración

Resultados obtenidos Medio Al hacer clic sobre el URL, se llegaba al sitio phish. La línea de estado del navegador mostró la dirección del servidor phish . El mensaje no desplegó correctamente, pero había una opción para mostrar las gráficas. Se recibió en el fólder de correo basura (Junk Mail o Spam). Yahoo! Mail Alto Al hacer clic sobre el URL, se llegaba al sitio phish. La línea de estado del navegador mostró la dirección del servidor phish . Las gráficas del mensaje se mostraron bien Al hacer clic sobre el URL, se redirigió al sitio phish. GMail Bajo Al hacer clic sobre el URL, se llegaba al sitio original. La línea de estado del navegador mostró la dirección del servidor original. El mensaje no desplegó correctamente. Squirrel Mail Alto Al hacer clic sobre el URL, se llegaba al sitio phish. La línea de estado del navegador mostró la dirección del servidor phish . El mensaje contenía todos los elementos gráficos y de formateo. Microsoft Outlook Express Nivel de riesgo Ofuscación del URL Presentación del correo Cliente de correo

Resultados obtenidos 0% Esconder la dirección falsa. Cambiar el texto de la barra de estado del navegador con información falsa cuando se hace clic o se pasa el apuntador del ratón sobre el URL. 75% Mostrar en pantalla una dirección URL diferente a la que navegará, si es seleccionada. Esconder en HTML la dirección del servidor phish dentro de un HREF 0% Esconder la dirección falsa. Actualizar la barra de estado del navegador con información falsa Riesgo Efecto Medida

Resultados obtenidos 0% Asegurarse que el navegador de Internet esté actualizado con los últimos parches de seguridad, y contar con software antivirus y antispam actualizado. 0% Código dentro de un mensaje que cambia el texto de la barra de estado del navegador con información falsa cuando se hace clic o se pasa el apuntador del ratón sobre el URL. Bajo Entrenamiento a los usuarios para reconocer mensajes fraudulentos; campañas de información y prevención; contar con software antivirus y antispam actualizado. 75% Mensaje alterado de tal forma que esconde en HTML la dirección del servidor phish dentro de un HREF. 0% Asegurarse que el navegador de Internet esté actualizado con los últimos parches de seguridad, y contar con software antivirus y antispam actualizado. 0% Código dentro de un mensaje que actualiza la barra de estado del navegador con información falsa. Riesgo residual Control Riesgo base Escenario de riesgo

Conclusiones Es posible crear una copia similar a de cualquier empresa, de forma muy sencilla y rápida de manera que se puede adaptar el código disponible públicamente para realizar acciones no esperadas. Es posible manipular directamente código HTML de mensajes de correo electrónico con características que permiten explotar vulnerabilidades en clientes de correo y navegadores Web. Es importante mantenerse al día en actualizaciones de seguridad, tanto para los clientes de correo electrónico, como los servidores. Es necesario activar características para que los clientes de correo no interpreten código dentro de los mensajes recibidos; adicionalmente, el software antivirus y antispam requiere de un proceso más exhaustivo de revisión del código HTML, posiblemente a través de análisis heurístico. La educación a los usuarios puede ser un método efectivo de mitigación de riesgos informáticos, ya que las técnicas de ingeniería social basan su éxito en engañar a las personas, y no a infiltrarse por medio de vulnerabilidades de sistemas.

Es posible crear una copia similar a de cualquier empresa, de forma muy sencilla y rápida de manera que se puede adaptar el código disponible públicamente para realizar acciones no esperadas.

Es posible manipular directamente código HTML de mensajes de correo electrónico con características que permiten explotar vulnerabilidades en clientes de correo y navegadores Web.

Es importante mantenerse al día en actualizaciones de seguridad, tanto para los clientes de correo electrónico, como los servidores.

Es necesario activar características para que los clientes de correo no interpreten código dentro de los mensajes recibidos; adicionalmente, el software antivirus y antispam requiere de un proceso más exhaustivo de revisión del código HTML, posiblemente a través de análisis heurístico.

La educación a los usuarios puede ser un método efectivo de mitigación de riesgos informáticos, ya que las técnicas de ingeniería social basan su éxito en engañar a las personas, y no a infiltrarse por medio de vulnerabilidades de sistemas.

¿Preguntas? [email_address]

[email_address]