lunes, 12 de octubre de 2015

San Roque, que este perro no me toque


Hoy “temprano” me tope con la llegada de un curioso mail que intenta un ataque de ingeniería social.
iNbOX_1.png
El mail en cuestión llega de la cuenta de correosanroquecampana@yahoo.com.ar”, bajo el asunto: “Documento”



iNbOX_2.png
La llegada del mail despertó mi curiosidad (dado que hace tiempo que nada tengo que ver con el colegio San Roque) por lo que enseguida me propuse ver de qué se trataba todo esto.


Para comenzar; El mensaje facilita un link que en apariencia me conectaría con algún servicio de Google y para seguir, en el mensaje se me avisa que tendré que iniciar sesión para poder acceder al documento (Ya estoy logueado !).
En el cuerpo de mensaje también existe una imagen que sugiere tener alguna relación con el servicio “DropBox”
iNbOX_3.png


Mi intuición no me fallo, los links no apuntan a ningún servicio de Google tampoco de DropBox, en cambio nos redirige a este sitio: http://kwantabwantas.com/trk/y automáticamente la URL cambia por una cadena en encodeada en Base64 (Subi copia a Pastebin: http://pastebin.com/jjsv7WBU ) que luego el navegador sabra interpretar y convertirlo en codigo HTML+Javascript tradicional (Subi copia a Pastebin: http://pastebin.com/FXvdqgbq )


Ya me adelanto a asumir que algún “fulano” tiene las credenciales de acceso a la cuenta del colegio "San Roque" (sanroquecampana@yahoo.com.ar”,) y ha decidido enviar un mail a cada contacto (como método de propagación de este engaño) y entre la lista de contactos se encontraba mi correo.


El link “https://google.com/doc” ( http://kwantabwantas.com/trk/), me lleva a lo que simula ser la pantalla de login del servicio “Google Drive”. A la captura le marque algunos detalles/errores: el título, la URL, etc.
home_kwantabwantas.png
Si bien puse datos falsos (user y passwd) fui redirigido de igual manera a un documento incluido dentro de Google Drive:

El documento fue creado por: “michaelyusuf101@gmail.com


“Google Doc” ya cataloga a este documento como “Popular”.
DOC_kwantabwantas.png


Al momento de loquearme mis credenciales son enviadas mediante post hacia: http://kwantabwantas.com/trk/submit.php
login_kwantabwantas.png

Ahora como buen samaritano :D solo restara avisar al (verdadero ) responsable del mail del Colegio San Roque que su correo esta siendo utilizado(abusado seria un termino mas acertado) para propagar algún tipo de estafa, que en principio seria para robar credenciales de acceso de servicios de Google.


Saludos,
@Capitan_Alfa.

1 comentario: