Ataque estenográfico via correo electrónico – Gmail/Facturación Bbva

De acuerdo con la Wikipedia,  estenografía “trata el estudio y aplicación de técnicas que permiten ocultar mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. Es decir, procura ocultar mensajes dentro de otros objetos y de esta forma establecer un canal encubierto de comunicación, de modo que el propio acto de la comunicación pase inadvertido para observadores que tienen acceso a ese canal.”

En los medios de comunicación informáticos hay diferentes maneras en las que los piratas informáticos utilizan estos mecanismos con el propósito de robar nuestra información.

Los delincuentes utilizan diferentes medios para obtener información confidencial almacenada en nuestros computadores.

Uno de esos medios son los correos electrónicos.

En el caso de correos electrónicos, los delincuentes pueden disfrazar un anexo malicioso con otro anexo no malicioso, por ejemplo, pueden ocultar un programa (malware) utilizando una foto como camuflaje. Quien recibe el correo, puede abrir la fotografía y al hacerlo, se ejecutará este programa malicioso sin dar señales de advertencia para el usuario.

Observemos el siguiente caso.

Me ha llegado un correo electrónico, en el asunto dice: facturación

Analicemos este mensaje por un momento.

El Asunto, “facturación”, hace referencia a algo que, si somos personas que tenemos algún tipo de obligación financiera, inmediatamente llamará nuestra atención lo cual es algo que explotan los delincuentes, se ha dado “la oportunidad” dentro del triángulo el fraude. Por el contrario, si el mensaje que se recibe está relacionado con algo fuera de nuestro contexto, el delincuente tendrá menos posibilidades de que usted abra el correo electrónico.

Para efectos del ejemplo supongamos que el mensaje puede ser de nuestro interés, entonces, al abrir el mensaje, éste luce así:

A continuación puede ocurrir una de dos cosas, nos tomamos el tiempo para examinar la estructura y contenidos del correo o… abrimos esa borrosa imagen que puede contener millones de pesos que debemos pagar o que nos han consignado en esta “factura”.

Evaluemos el primer caso, examinaremos el correo y su contenido, este es un procedimiento que puede realizar cualquier persona, independientemente de su nivel de conocimiento en tecnología.

1. El remitente

El correo electrónico proviene de un dominio (productoscalima.com) que no coincide con la entidad que supuestamente emitió el comprobante relacionado en la imagen (Bbva).

2. La fecha

El correo fue enviado el 13 de Julio, sin embargo, en el cuerpo del correo indica que la supuesta transacción fue realizada “hoy” 12 de Julio. La diferencia en las fechas sugiere que puede existir una diferencia horaria importante entre el lugar de origen del correo y el de destino.

3. El destinatario

El correo es genérico, es decir, en el encabezado del cuerpo del correo no aparece dirigido a una persona en específico, esto suele ser una señal de que se trata de un correo enviado a más de un destinatario, probablemente de manera masiva.

4. La Firma del cuerpo del correo

El correo no es firmado por una persona en particular, adicionalmente, el remitente que firma (Notaría en Bogotá) no coincide con el dominio del correo del destinatario (productoscalima.com) ni con el supuesto emisor del recibo de la transacción (Bbva).

El análisis anterior es soporte suficiente para dudar de la autenticidad e idoneidad del mensaje, motivo por el cual, el siguiente paso debería ser marcar el correo como “suplantación de identidad” y descartarlo en SPAM sin abrir la imagen.

Ahora, ya que hemos identificado que este correo es fraudulento, démosle un vistazo más cercano al archivo anexo, para ello descargamos el archivo sin abrirlo en una carpeta e nuestro disco duro, el archivo, después de descargado se ve así en el explorador de archivos de windows:

En este caso, el archivo ya no parece una imagen, es posible que en otros casos de estenografía, al descargar el archivo se conserven las características de audio/imagen/video que pretenden desplegar.

Aplicando una acción simple de descompresión, se obtiene el siguiente resultado:

Ahora se ve claramente que dentro del archivo de la supuesta imagen hay un programa ejecutable, en este caso llamado “Factura pendiente por aprobación bancaria.exe”.

Si se descomprime el archivo ejecutable se obtiene lo siguiente:

Análisis de mayor nivel de esos archivos probarían la naturaleza del ataque y las repercusiones sobre el computador donde fuese abierta la imagen de manera desprevenida.

Comments are closed.