sábado, 3 de septiembre de 2016

Destripando correos sospechosos

Septiembre, 2016
Comienza un nuevo curso escolar, podríamos decir que también un nuevo curso laboral y una nueva cuesta económica al enfrentarnos a todos los gastos que un inicio conlleva. Y  un incremento de correos “raros” que de cuando en cuando aparecen en nuestros buzones de entrada entre los que destacan los sempiternos correos de personas que están locas por nuestros huesos y todo aquello que los recubre… Y nos mosquea ¿no? Aunque, reconozcámoslo, es normal que los recibamos porque estamos como quesitos, como yogurines ¡vamos!
Pues va a ser que no. Que quien está loco por nosotros no lo está por nuestros huesos, sino por nuestros dispositivos y, en definitiva, por nuestra cartera.
Hoy vamos a alimentar un poco nuestro ego y no precisamente por lo buenos que estamos, sino porque vamos a intentar ser un poco más listos que el malo que nos manda esos correos con aviesas intenciones.
captura de pantalla del correo sospechoso
Captura del mensaje de correo

Pues sí. Y muy sospechoso. Lo inmediato es eliminarlo y después vaciar la papelera, pero hoy vamos a destriparlo.

Comenzamos por sospechar de la forma de escribir, que si bien no es un inglés académico, es un llamémosle slang que podría colar si no fuera porque tiene símbolos raros: asteriscos, ceros, unos, más asteriscos…
Palabras raras
¿Será "idioma hacker"?

No es idioma hacker, no; es una simple treta para que los programas anti-spam o filtros parentales no detecten determinadas palabras que suelen estar relacionadas con correos basura, como  “Fuckbuddy”, “surprise”, “sex”… Cambiando algún carácter por otro símbolo muuuy parecido nosotros lo leemos igual, pero para una máquina, para un programa de ordenador no coincide con ninguna entrada de su lista negra y lo deja pasar. Y nos llega.
Otros detalles que nos tienen que poner sobre alerta son:
no conozco al remitente (y si conociera el nombre del o de la tal “Oasis Gee” eso tampoco me asegura que sea quien dice ser)
no viene mi nombre ni mi apellido: soy  “sweetie” (si es que estoy tan, tan, tan…). Esto es importante.
en lugar de darme la información/producto/¡¡fotos!! que me ofrecen me piden ir a una web ¿desconocida? Sugiriéndome pinchar en *see them here*. Mmm
No. No pinta bien. Así que vamos a mirar por detrás, a ver que podemos encontrar.
Todas las aplicaciones de correo electrónico tienen una opción que permite ver la “fuente” del mensaje, es decir, todo lo que realmente viaja con ese correo electrónico que recibimos tan clarito y tan bien organizado. Obtendremos algo así:

Código fuente del mensaje de correo


Y ¡anda que no hay cosas raras! Pero para nuestros fines nos basta  con fijarnos en unas poquitas.
La primera es el remitente (Return-Path), o quien nos manda el correo.
La segunda que nos va a dar información es la dirección IP del proveedor, la dirección desde la que ha salido el correo.
Y la tercera es la dirección web a que nos manda el enlace. En este caso, mosquean dos cosas: una, que es una dirección acortada; dos, que es de un dominio .ru (Rusia) ¡miedito!
Estas tres cositas deberían hacernos eliminar ya el correo, sin más; pero hoy estamos curiosones, y queremos saber algo más… ¡antes de borrarlo!
Así, comenzamos con la dirección IP de la máquina (que hasta parece legítima) desde la que nos mandan el correo.

Consulta de la IP de origen
Identificando la IP de origen

No pinta mal ni sospechoso en principio, aunque la IP pueda, perfectamente, estar enmascarada y el correo haber sido enviado a través de un ordenador conectado a un proxy o a la red TOR (que es lo que hacen los malos). Suponiendo que la IP no esté falsificada, este correo nos lo están mandando desde una población del estado de Texas (USA) llamada Lubbock. ¿Has estado alguna vez? Yo tampoco.
Toca, pues, pasar esa dirección IP por algún motor que nos informe si se tienen referencias de que desde ella se esté enviando spam o, directamente, malware.
Y sigue sin pintar bien: claroscuros en dos diferentes sitios web de referencia, lo que no me termina de tranquilizar, no.

Consulta a AntiAbuse
Consulta a AntiAbuse

Esta no nos aclara nada, nos deja al cincuenta por ciento de dudas, por lo que acudimos a otra…

Segunda consulta
Segunda consulta de IP de origen

Esta ya parece que pinta más verde, pero el mero hecho de que haya algunos puntos rojos me continúa dando mala espina, así que lo dejo y me voy a investigar muy por encima la dirección de correo del remitente. Y digo que muy por encima porque seguramente sea un mail desechable, con el que no merece la pena emplear tiempo haciendo uso de otras herramientas de OSINT que nos pueden arrojar mucha luz sobre un perfil digital.
Como la dirección es algo así como galimatías@mail2darren.com el primer paso es buscar el dominio; o sea, lo que hay a la derecha de la @.
Este, como tal, no existe, pero vemos que depende de uno que tiene pinta de “aquí no se hacen demasiadas preguntas”, lo que no contribuye precisamente a tranquilizarnos ¿o estaremos confundidos?

Página de Login
Página de Login/registro del proveedor de correo

¿No te parece que pinta raro? ¿No te has dado cuenta de que falta “el candadito” delante de la dirección? Esa ausencia significa que tus datos de usuario/contraseña viajan en claro a través de Internet, disponibles para cualquiera (y ya si te conectas desde una red WiFi pública y gratuita…)
Efectivamente, no parece ser nada nada seguro, pero como estoy curiosón curiosón con mi desconocido sweetie, decido crearme una cuenta de correo aquí, aunque el dominio supongo que será algo así como fulanito@mail2world.com, ligeramente diferente a mi galimatías@mail2darren.com.
Lo mismo está todo perdido y tengo que limitarme a borrar el correo ¡ahora sí! Antes de tener un disgusto haciendo clic en el hipervínculo…
Pues ¡hala! Vamos a registrarnos…

Formulario de registro
Formulario de registro

Si esto cuela, con datos tan sumamente incongruentes como el del código postal, país y huso horario… ¡miedo total! Eso sí, el Captcha que ponen como Security Code me da una cierta garantía de que no pueden registrarse bots automáticamente…
Y tras leerme lo del Uso Adecuado, Términos de Servicio, Disclosures y Política de Privacidad hago clic en el botón de continuar… Para llegar a un lugar maravilloso donde empleé un rato jugando con las opciones hasta conseguir lo que quería: una cuenta de correo como la de mi secreto admirador...

Personalizando el dominio
Personalizando el dominio (más allá de la @)

Esto es nivel: puedo elegir el nombre de dominio en función de Categoría y Subcategoría para que mi cuenta de correo refleje “fielmente” mis intereses…

Registro completado
Registro completado

Y ya está. Ahora, a ver si entramos y funciona…

Logueándonos
Logueándonos

Y parece que sí, que entramos; aún cuando nuestros datos viajan en claro. Ya lo he dicho ¿verdad?

Pantalla principal de la aplicación
Pantalla principal de la aplicación

Dentro estamos, pero ¿enviará y recibirá correos?

Correo recibido
Correo recibido


Pues sí: recibe y envía correos.
Y esa facilidad de crear una cuenta de correo "anónima" es lo que ha dado lugar a escribir esta entrada de blog, este manual tan, tan elemental pero que me aporta la certeza suficiente para descartar ¡por fin! ese correo “raruno”. Y es que si yo he podido generarme una identidad tan sumamente ofuscada ¿qué no serán capaces de hacer los malos-malotes?
Con lo anterior creo que tenéis suficientes datos para ser capaces de destripar un correo electrónico sospechoso… ¡sin morir en el intento!
Espero y confío en que os sea útil.
Un cordial saludo,
Pedro.
P.D.: ¡¡Tened mucho cuidado ahí fuera!!
Nota: la entrada, en .pdf, aquí para lo que os pueda servir.

No hay comentarios: