logo MBR

Robo de información

verificacion-de-microsoft
Compartir artículo
Un correo electrónico de phishing, múltiples técnicas de evasión

Dado que las organizaciones utilizan cada vez más productos de seguridad para proteger su correo electrónico de mensajes, archivos adjuntos y enlaces maliciosos, los intentos de phishing han tenido que volverse más sofisticados. Este es un proceso continuo en el que los atacantes desarrollan nuevas técnicas que les ayudan a evadir las soluciones de seguridad del correo electrónico para llegar a sus objetivos de usuarios finales.

Recientemente nos encontramos con un correo electrónico de phishing capturado por Datto SaaS Defense que utilizaba múltiples técnicas de evasión, cada una dirigida a un mecanismo de detección diferente. Estas técnicas, cuando se combinaron juntas, le permitieron eludir muchas soluciones de seguridad de correo electrónico.

En esta publicación de blog, lo guiaré a través de las diferentes técnicas de evasión utilizadas en este ataque, explicaré por qué ayudan a que el ataque pase desapercibido y sugeriré cómo podrían identificarse.

El ataque y sus técnicas de evasión

El correo electrónico en sí atrae al usuario para que haga clic en un enlace al informarle que su contraseña de Office 365 está a punto de caducar. El usuario hace clic en el enlace para actualizar su contraseña y llegar a esta página web falsa de inicio de sesión de Microsoft:

verificacion-de-microsoft

Fíjese bien en esta página web. Hay varias técnicas de evasión que hacen que esta página no parezca sospechosa para las soluciones de seguridad de correo electrónico.

Evasión de favicon

El favicon (el icono en la pestaña del navegador) es un poco diferente al actual favicon de Microsoft. El atacante cambió las fichas rojas y amarillas y usó blanco en lugar de negro para el borde. 

verificacion-de-microsoft

A la izquierda: el favicon falso de Microsoft; a la derecha: el verdadero favicon de Microsoft

Esto podría causar errores de coincidencia de plantillas (un método utilizado por las soluciones de seguridad para identificar páginas web de phishing), especialmente si no se usa una escala de grises al comparar. Por lo tanto, ayuda a este ataque a evadir los motores de detección de phishing.

Evasión de logotipo

El logotipo de Microsoft utilizado en la página web de inicio de sesión falso es ligeramente diferente del logotipo original de Microsoft. Como puede ver en la imagen, el atacante usó una fuente similar pero no idéntica, así como letras en negrita. 

microsoft-autentucacion

A la izquierda: el logo falso; a la derecha: el logotipo real de Microsoft

Esto podría causar errores en la coincidencia de plantillas, suponiendo que el texto de Microsoft esté incluido en la plantilla. Aumentando aún más las posibilidades de que los motores de detección de phishing pasen por alto este ataque.

Forma de evasión

Puede parecer que la página contiene un formulario normal, pero no usa la etiqueta <form> real en HTML como lo haría un sitio web legítimo de Microsoft. Los atacantes crearon el ‘formulario’ usando etiquetas <div> y CSS para que tuvieran el mismo aspecto, como puede ver en el siguiente código HTML.

Muchos motores de detección de phishing escanearían el HTML en busca de una etiqueta <form> para investigar el formulario y revelar intentos de robo de credenciales. El hecho de que el formulario parezca legítimo hace que la página no sospeche de las víctimas. El hecho de que no haya una etiqueta <form> en el HTML evita que los motores de detección de phishing identifiquen el formulario ilegítimo. 

evasion-de-pishing

Usar <div> en lugar de un formulario

Texto sospechoso en imágenes

Algunos motores de detección de phishing escanean la página web en busca de campos que soliciten la contraseña del usuario (por lo general, variaciones de la frase «ingresar contraseña»). Luego investigan estos campos para verificar si son legítimos.

En esta página web de phishing, los atacantes utilizaron imágenes del texto en lugar del texto real cada vez que se escribía la palabra contraseña.

pishing-en-correo-electronico

Este es un ejemplo de 3 en la misma página web de phishing donde se usa una imagen del texto ‘ingresar contraseña’ en lugar de usar un formato de texto. Se hizo lo mismo con el ‘marcador de posición’ de la contraseña y el texto ‘olvidé mi contraseña’; ambos son imágenes.

Este método puede permitir que el ataque pase por alto las soluciones de seguridad de correo electrónico que escanean la página web en busca de intentos de phishing, ya que el motor de detección no reconoce la palabra «contraseña» y, por lo tanto, no sospecha que la página se use para la recolección de credenciales.

Campo de entrada disfrazado

Otra técnica que pueden usar los motores de detección de phishing es escanear el HTML en busca de campos de entrada, lo que indica que esto podría ser un intento de robo de credenciales. En este caso, los atacantes ocultaron el campo de entrada creando un div vacío con una imagen de fondo que mostraba la palabra contraseña. Esta es otra táctica que ayuda a este ataque de correo electrónico a eludir las soluciones de seguridad de correo electrónico. 

virus-en-correo-electronico
Un div vacío con una imagen de fondo de la palabra ‘contraseña’.

La siguiente captura de pantalla muestra que el campo ‘Entrada’ es en realidad un div vacío (con la identificación de ‘spinput’):

virus-en-correo-electronico-microsoft

El <div> está vacío

Una vez que el usuario hace clic en este div, se crea un nuevo div con la identificación de ‘inpfield’. Este div actúa como un campo de entrada de texto en el que el usuario puede ingresar su contraseña.

virus-en-correo-electronico-pishing
El <div> ya no está vacío

Para que esto parezca real para el usuario, hay un marcador de posición con la palabra ‘contraseña’. Para evadir la detección, los atacantes agregaron «» entre las letras de la palabra ‘contraseña’. De esta forma, los motores de detección no encontrarían la palabra ‘contraseña’. Este es un guión suave que es invisible en HTML para que el usuario no sospeche nada.

robo-de-informacion

Observando cuidadosamente, uno puede notar que la palabra contraseña en el campo de ‘entrada’ ha cambiado después de hacer clic de una imagen a un marcador de posición. Así es como se ve después de hacer clic en el campo de contraseña falsa:

robo-de-informacion-robo-de-contraseñas

El marcador de posición de la contraseña después de hacer clic en él

Por lo general, cuando las páginas web legítimas usan un campo de contraseña, usan <input> con el tipo de contraseña para hacer los puntos negros que no mostrarán el texto en el campo. En este caso, el texto está dentro del <div> y un código JavaScript está cambiando los valores para que sean esos puntos negros que ve el usuario. 

robo-de-contraseñas

El texto está dentro de < div > y los valores se cambian a puntos negros.

¿Qué puedes hacer al respecto?

Se espera que el phishing siga evolucionando y las soluciones de seguridad deberán mantener el ritmo para evitar que los ataques de phishing eludan sus motores de detección.

Si bien la mayoría de las soluciones de seguridad de correo electrónico dependen de los datos de intentos de phishing conocidos, Datto SaaS Defense adopta un enfoque independiente de los datos. Datto SaaS Defense detecta amenazas de phishing nuevas y desconocidas que otras soluciones pasan por alto al analizar la composición de un correo electrónico, una URL y una página web seguros en lugar de buscar técnicas de phishing conocidas. Esta es la razón por la cual este ataque en particular (así como muchos otros) fue detenido por Datto SaaS Defense pero pasó por alto otras soluciones de seguridad de correo electrónico.  

MBR

¿Necesitas más información?

¡Contáctanos y nuestro equipo resolverá todas tus dudas! 

Suscríbete a nuestro boletín

Recibe actualizaciones y promociones exclusivas.

Explora más artículos de tu interés

Sensor de ambiente

Compartir artículo Qué buscar en un sensor ambiental Por diseño, los sensores ambientales son herramientas de monitoreo que arrojan luz sobre amenazas invisibles que de

tarjetas de proximidad
CCTV y videovigilancia

¿Cómo funcionan las tarjetas de proximidad?

Los dispositivos de control de acceso a menudo sirven como la primera línea de defensa para proteger un edificio y sus ocupantes. Estas soluciones generalmente se basan en tarjetas RFID emitidas para dar acceso solo al personal autorizado.