Monday, January 9, 2017

Cómo fui mecenas de una banda de Jazz sin gastar 1200€

Cómo fui mecenas de una banda de Jazz sin gastar 1200€


Aunque a diario seguimos recibiendo correos spam clásicos como el del timo del nigeriano - y eso que los filtros antispam ya los capturan sin problema -, en ocasiones llegan otros correos fraudulentos muy elaborados y que a mí me gusta analizar. Los utilizo para aprender de ellos trucos que pueda poner en práctica en futuros ataques de Spear Phishing en proyectos de Ethical Hacking.  En este caso os voy a contar una historia que tiene que ver con uno de esos correos no esperados que me llegan. Es una caso similar al que ya me sucedió con Instagram y que os conté en el artículo "¿Desde cuándo tengo yo Instagram? ¿Y ahora soy así?", el mensaje de correo electrónico recibido provenía de la plataforma VerKami, que muchos conoceréis por las campañas de apoyo a proyectos como los de los capítulos de Cálico Electrónico.

Figura 1: Cómo fui mecenas de una banda de Jazz sin gastar ¡1.200 €!

Para quienes no lo conozcan, VerKami es una web de crowdfunding para proyectos creativos, en los que, haciendo aportaciones económicas, te conviertes en mecenas. El mensaje de correo electrónico en cuestión que recibí me felicitaba por el mecenazgo de un proyecto de música jazz, con una aportación de ¡nada más y nada menos que ¡1.200€! Así que una de dos, o mi alter ego por las noches escucha Jazz y se vuelve muy generoso, o sería algún tipo de spam, fraude o error. Había que investigar más.

Figura 2: Aquí, de mecenas de una banda de Jazz

Lo primero que llama la atención, y que me hizo dudar de si era spam o un e-mail lícito, es que, en su contenido, no solicitan ningún pago ni inicio de sesión. Esto no tiene porque ser significativo, ya que al poner que se ha pagado una buena suma de dinero se genera la urgencia suficiente en el receptor como para que haga clic en un enlace que pueda solicitar después datos o que pueda lanzar un exploit contra la máquina de la víctima. En este caso, el mensaje contiene únicamente un link a la descripción del proyecto, pero algo dudoso, ya que la web a la que apunta no es la de VerKami, sino una redirección a través de un dominio pasarela:
http://mandrillapp.com/track/click/4349534/www.verkami.com
Tras un par de consultas en Google, queda claro que mandrillapp es un servicio de correo transaccional, y estos enlaces que se generan con redirección son únicamente para generar estadísticas de clic en el enlace, así que de momento nada sospechoso.

Viendo que el origen del correo es una dirección del dominio de la plataforma de crowdfunding, que está firmado y además contiene cabeceras DKIM y SPF para confirmar su autenticidad, descarto la idea de que fuera un mensaje de spam en el que se hubiera hecho un ataque de spoofing para suplantar la dirección del remitente del mensaje y me centro en otra de las posibilidades que empezó a pasar por mi cabeza: La posibilidad de la falta de verificación de la dirección de correo electrónico al crearse la cuenta en el servicio. Algo que ya hemos visto que le pasa hasta el mismísimo Paypal o a la compañía Uber.

Figura 3: El mensaje viene con cabeceras DKIM (firma) y SPF

El siguiente paso es más que evidente. Si alguien ha utilizado mi dirección de correo electrónico para crearse una cuenta en este sitio web, no debería tener ningún problema para generar un link de recuperación de contraseña, así que basta con entrar en la web de VerKami, utilizar el método para recuperarla por correo y… La cuenta no existe.

Figura 4: La cuenta no existe

Esto me vuelve a hacer dudar de la veracidad del mensaje de e-mail recibido. Pero no voy a quedarme sin dar respuesta al posible motivo, así que nada mejor que crearse una cuenta y analizar el proceso de registro completo para localizar los puntos débiles del mismo. Nada más iniciar el registro, llama la atención la alerta indicando que te asegures de introducir el correo electrónico correctamente, lo que da pie a pensar que no existe ningún proceso de validación de éste.

Tras terminar de rellenar el formulario con los datos solicitados, tal y como había pensado, compruebo que no existe verificación de la dirección de correo electrónico por ningún lugar, pero sí recibo un mensaje de e-mail dándome la bienvenida al servicio.

Figura 5: Mensaje de bienvenida

Si alguien hubiera errado a la hora de configurar su cuenta de correo electrónico, yo también habría recibido ese mensaje, así que la pregunta era: "¿Por qué no había recibido este correo en mi cuenta previamente al de mecenazgo?" "¿O lo había recibido y lo había ignorado?". Sea como fuere la cosa no acaba aquí, ya que VerKami te ofrece la opción de cambiar la dirección de correo de tu cuenta con la que inicias sesión en la plataforma, característica que no muchos servicios disponen. Por suerte, el control de direcciones de e-mail en uso funciona correctamente y parece no haber forma de confundirlos o adueñarte de una cuenta que no te pertenece.

Figura 6: Verifica que la cuenta no existe ya

Esta opción abre una nueva posibilidad, que es la que más plausible me parece. El mecenas del proyecto se creó una cuenta con una dirección que no es la mía, la actualizo con mi dirección (erróneamente), realizo el pago de mecenazgo, y posteriormente se dio cuenta del error en la dirección de correo electrónico y la corrigió. Es mi teoría, aunque tienen que darse muchas casualidades.

Independientemente de cómo se haya producido, preocupa que a día de hoy siga habiendo tantos  y tantos servicios en los que no se requiera una verificación de la dirección de correo electrónico antes de enviar comunicaciones sensibles, sobre todo en aquellos en los que se realizan transacciones económicas. Lo recomendable seria que el servicio envié un OTP (One-Time Password) a la dirección de correo proporcionada para hacer un comprobación con la sesión del usuario que está dando de alta la dirección de correo electrónico asociado a una cuenta y así verificarlo.

Autor: Ioseba Palop
Senior Engineer en Eleven Paths

Available link for download