El phishing desde dentro. Montando y usando un kit de phishing real

Ante de empezar, una nota importante sobre el artículo:

Disclaimer

El objeto de este artículo es única y exclusivamente dar a conocer la existencia de este tipo de amenazas, y cómo son ofrecidas a cambio de contraprestación económica para ser desplegadas por terceros con facilidad.

No me une, ni ahora ni en ningún otro momento, relación alguna con la entidad que ejemplifica el artículo. Dicha entidad ha sido avisada de la existencia de este kit, y están desde hace varias horas trabajando intensivamente en las pistas que dicho kit proporciona, con el fin de poder ofrecer las máximas condiciones de seguridad ante amenazas como esta y cualquier otra que pudiera derivadr de la misma.

A través de la información que me ha suministrado mi compañero Julio, he estado analizando unos cuantos phishing kits o kits de phishing, entre los cuales se halla un ejemplar destinado a una entidad española, Bancaja. Para introduciros en lo que son los kits de phishing, podéis hacer lectura de Phishing kits, ataques segmentados y negocios en auge, un boletín en el que se relaciona el modelo de negocio del crimen organizado con la existencia de estos artefactos.

La localización de estos kits es obra del trabajo de investigación, siempre excelente, de los analistas de Secure Science.

Construyendo el sitio phishing

Por motivos obvios, no facilitaré la URL donde pueden ser desacargados estos kits de phishing. El directorio al que se puede acceder presenta el siguiente aspecto:

Bastante completito. Tenemos plantillas para montar la estafa que nos apetezca: eBay, g-gold, Citibank, Bank of America y además, programas como Dark Mailer, para el envío masivo de correos. Anda por el directorio también phpmailer, y es que claro, las claves que el comprador pretende sustraer hay que enviarlas a algún buzón de correo para ser recolectadas. También tenemos dentro de los elementos a Magstripe.exe, un programa variante de Win32/Prorat, y que está orientado a labores de control remoto de equipos, generalmente, de equipos comprometidos.

Nos vamos a ir al caso de Bancaja, por ser más familiar y cercano. Una vez descomprimido el fichero señalado, bancaja.zip, encontramos los siguientes elementos:

Para ver qué resulta de la aplicación de este kit, cargamos los ficheros en un servidor Web local, ya que emplear un servidor conectado a la red no sólo sería temerario, sino además, innecesario. En mi caso, utilizo una instalación Roxen Webserver (pulsar para ampliar). Para cargar el kit, creamos la carpeta bancaja en el directorio /var/www, tal y como es habitual para alimentar un servidor http. El resultado de navegar a esa carpeta es espectacular (aquí para ampliar), consiguiéndose una reproducción perfecta del siito legítimo de la entidad:

Salvo un error a la hora de incluir un banner de 2005, /bbc/gifs/banners_home_concursodigital_2.jpg, el resto del sitio carece de erratas que llamen la atención. La gran mayoría de los usuarios, sin dudarlo, creerían que es un sitio legítimo. Las medidas antiphishing de la entidad no verían señales de alarma en sus logs de servidor, ya que la carga de imágenes es local, al venir adjuntas en el kit, con lo que no existen peticiones http contra el servidor de la entidad para desplegar la carga gráfica. Tampoco se invocan ficheros javascript, ni hojas de estilo CSS. Todo viene en el paquete. Sigilo máximo para confeccionar el ataque.

Gestionando la recuperación ilegal de credenciales

El usuario del kit sólo tiene que editar un script PHP llamado ControlParticulares.php (detalle completo aquí), en el que como se aprecia, basta con indicar en la variable $to quién será el receptor de las credenciales robadas:

Una vez el sitio está visible, y se emiten los correos para tratar de conducir a los incautos a dicho lugar, muchos de los cuales acabarán intruduciendo las credenciales de acceso, creyendo que están en el sitio legítimo de la entidad. En ese momento, y tras superar un control javascript que comprueba que efectivamente hemos metido datos reales en cuanto a longitud, aparece una pantalla de confrmación de datos (detalle completo aquí), en el que se solicitan además el correo electrónico y la firma digital:

El usuario que introduce esos dos datos se topa de inmediato con un falso mensaje de servicio indisponible (captura ampliada aquí). Entre tanto, PHP se ha encargado de enviarnos a la cuenta de correo especificada los datos que ha introducido el usuario, sin que este se de cuenta:

Robándole al ladrón

Llegados a este punto, el comprador del kit se echaría atrás en su sillón y se frotaría las manos esperando que llegasen las credenciales robadas. Pero no, puede que no lleguen nunca, y es que el que quien elabora el kit puede que no se conforme sólo con el lucro de la venta, sino que además, quiera recolectar las credenciales sin mover un dedo. Basta con ver el código para comprobar que otro script PHP hace un último envío de credenciales a otra cuenta de correo, distinta a la que habíamos especificado en primera instancia, y que volvemos a editar para centralizar la recepción de credenciales:

Después de todo el proceso, mientras espero que se solventen esas aparentes deficiencias técnicas, mi número de tarjeta de 12 dígitos (123456123456), mi pin (1234), mi correo (usuario@incauto.com) y mi firma (incauto), han ido a parar a un desalmado. He sido víctima del phishing.

Moralejas

• No compres kits de phishing. En el 99% de las ocasiones, te van a utilizar para montar una infraestructura ilegal de la que no te «beneficiarás», ya que las credenciales le van a llegar a otro. Te van a cobrar por el kit, vas a trabajar para ellos y no vas a ver «beneficio» alguno.
• Hay maneras más honradas de ganarse la vida. El phishing no es una de ellas. Capturar credenciales mediante phishing no sólo es reprobable, sino que es ilegal.
• Comprando kits de este tipo fomentas que la confianza en la banca electrónica decaiga, y fomentas que el crimen organizado exista y se lucre.
• El phishing provoca que tu «beneficio» llegue siempre a través de la pérdida de otro usuario inocente, que no tiene por qué verse privado de sus ahorros por el mero hecho de que tú quieras ganar dinero rápido.

Piénsalo bien antes de caer en la tentación de ganar dinero fácil.