Caso: Intento de Fraude a Cuenta Bancaria
22.03.2018


Destacar:
  1. Importancia de no confiar en dirección origen mostrada por lector de correo.
  2. Importancia de observar URL del sitio accedido.
Resumen: Hoy recibí un correo del "banco" pidiendo acceder a su portal para enmendar un problema de mi cuenta. El portal es falso pero refleja lo que el portal real muestra. Se muestra cómo reconocer estos casos e identificar los actores incolucrados.

Correo Recibido: El cursor (no capturado) fue puesto sobre el link del correo para observar dónde dirige. Este lector de correo advierte ("may be a scam") que hay diferencia entre el texto y el sitio al cual dirige. Notar la dirección "From" mostrada. Ésta no es la real (ver más delante) sino pretende ser una del banco. La dirección destino es la del usuario presumiblemente obtenida de algún sitio público donde instituciones o el usuario la publicó.
Correo recibido por el presunto usuario del banco
En este caso la liga https://www-santander-cl-redirecion-verificacion-coordenadas-cl.cf/www.santander.cl
no incluye información asociada a la casilla de correo ni a su dueño, por ello en este caso es menos riesgoso acceder al sitio copiando liga y luego pegando en browser. El sitio accedido conocerá la dirección IP desde donde se hace el acceso, la cual será la del computador donde corre el browser a menos que éste esté configurado con salida vía proxy.
El sitio al cual conduce es:

El URL ingresado fue el mostrado arriba; sin embargo, el sitio rápidamente redirige la página a https://www-santander-cl-verificacion-coordenadas-en-suspension.gq/confirmacion-coordenadas/index.htm
Esta página envía el mensaje de espera para preparar, para el browser, la imagen más similar a la entregada por el banco en ese momento. Luego, y sin mediar acción del usuario, se actualiza la vista a:


A diferencia de la página real del banco, la botonera es mostrada inmediatamente y no cuando el usuario selecciona el campo de texto para ingresar RUT. Note el nombre de máquina en el URL similar a la real. El sitio impostor también utiliza protocolo https para asemejarse más al banco.
A modo de comparación, vea usted lo que muestra el portal del banco tan pronto se accede a él:


 y una vez seleccionado el campo de ingreso de RUT, se hace aparecer la botonera:



Con el nombre de dominio del sitio impostor, podemos conocer su IP (trabajando desde Linux).
$ nslookup www-santander-cl-redirecion-verificacion-coordenadas-cl.cf
Server:        127.0.1.1
Address:    127.0.1.1#53

Non-authoritative answer:
Name:    www-santander-cl-redirecion-verificacion-coordenadas-cl.cf
Address: 178.159.36.79

Este nombre de dominio ".cf" corresponde a la "República Centroafricana", es decir el atacante debió intervenir ese servicio DNS.
Gracias a este servicio whois, podemos conocer el dueño y ubicación estimada del computador impostor. En este caso se traría, presumiblemente, de un computador de "MAROSNET Telecommunication Company LLC" de Ukrania.

Desde ese sitio, la página es redirigida a https://www-santander-cl-verificacion-coordenadas-en-suspension.gq/confirmacion-coordenadas/index.htm
la cual se encuentra en dominio ".gq" correspondiente a Equatorial Guinea, cuyo uso actual se describe como "Actual use: Many uses, most not in Equatorial Guinea. Free domains available or paid registrations for legal ownership with no activity requirement"
Este nuevo nombre de máquina, registrado en el servidor de dominio autoritario para ".gq", también conduce a la misma dirección IP.
$ nslookup  www-santander-cl-verificacion-coordenadas-en-suspension.gq
Server:        127.0.1.1
Address:    127.0.1.1#53

Non-authoritative answer:
Name:    www-santander-cl-verificacion-coordenadas-en-suspension.gq
Address: 178.159.36.79

Esta máquina aparentemente no tiene otro usos por cuando su directorio base muestra:


Analizando el correo en más detalle (revisando su texto fuente), se obtiene:
:
Received-SPF: None (no SPF record) identity=mailfrom; client-ip=185.106.208.254; helo=server.dusbilginleri.com.tr; envelope-from=dusbilgi@dusbilginleri.com.tr; ......
:
Subject: =?UTF-8?B?VGUgaW5mb3JtYW1vcyBxdWUgYWNhYmFzIGRlIHJlY2liaXIgdW5hIFRyYW5zZmVyZW5jaWEgYSB0dSBjdWVudGE=?=
X-PHP-Originating-Script: 10000:4.php(8) : eval()'d code(2) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code(1) : eval()'d code
From: =?UTF-8?B?U2FudGFuZGVy?= <Transferencias@Santander.cl>
:

Se observa que el correo fue enviado por el servidor server.dusbilginleri.com.tr ubicado en Turkía y desde la cuenta de correo dusbilgi@dusbilginleri.com.tr. Se trata de una institución que posiblemente no sabe que su correo ha sido intervenido.
Para ser menos reconocible, el subject y nombre mostrado por el lector de correo viajan codificados en Base64.  Este formato es fácil de decodificar, en este caso corresponde a (trabajando en Linux):
$ echo VGUgaW5mb3JtYW1vcyBxdWUgYWNhYmFzIGRlIHJlY2liaXIgdW5hIFRyYW5zZmVyZW5jaWEgYSB0dSBjdWVudGE= | base64 -d
Te informamos que acabas de recibir una Transferencia a tu cuenta
$ echo U2FudGFuZGVy |base64 -d
Santander

El formaro general para poner símbolos fuera del código ASCII (email sólo transporta código ASCII de 7 bits) es:
=?charset?encoding?encoded-text?=
Donde encoding puede ser Q para textual (quoted-printable) o B por Base 64.

En resumen: para cometer este intento de fraude el atacante debió:
  1. Acceder a una cuenta de correo agena
  2. Intervenir un servidor DNS (.cf, el otro dominio .gq sería libre)
  3. Tomar control del computador con IP 178.159.36.79. En este caso podría ser una máquina contratada por el atacante.
  4. Preparar un correo que muestre una dirección de correo origen distinta a la real.
  5. Algo más?
Una curiosidad: para llegar a ese servidor, los paquetes desde la USM llegan a Santiago, desde allí a USA (Kansas) usando proveedor Level 3 Communications. Luego de pasar por dos router que no reportan su IP, llegan a Londres, aún en red e Level 3 Communications. El siguiente salto lo lleva al proveedor Rostelecom en Moscú. De allí llegan a MAROSNET Telecommunication Company LLC en la misma capital y de allí la IP pertenece a una subred tipo C registrada a nombre de "Private Internet Hosting LTD" en Ukraine. (Esta secuencia fue obtenida usando traceroute y el servicio https://whois.ip-adress.com/ (con ayuda de google maps).