Análisis forense del Incidentes de tipo “Correo Electrónico”

Para este caso procederemos al análisis de un incidente de seguridad muy usual y común,
en casos de ingeniería social, phishing y/o filtración de malware, vía email. Para este caso
ya que no contamos con un ambiente de prueba dedicado simularemos el mismo a
través de una cuenta de correo electrónico de Gmail, por favor seguir la siguiente guía ya
que cada paso debe de documentarlo para generar un entregable final.

1. Generando el incidente:

Escenario…para este caso el atacante generó un correo dirigido a una

institución de gobierno tomando los datos de varias personas de fuentes de
información públicas seleccionando a quien consideró mucho más
vulnerable.

Para lo cual:

1. Creó una cuenta de correo de Gmail (usted puede

crearla a su discreción), bajo un nombre común y que
coincide con el nombre de una de las personas de
soporte (buscar planilla de una institución pública y/o
linked in).
a. Para este efecto el correo en su mensaje y
cuerpo simulaba una comunicación relacionada
a reiniciar su cuenta de office365 ya que por
estar en modo home office – teletrabajo fue
necesario ampliar las capacidades de
almacenamiento y solo se puede aplicar tras
ingresar de nuevo las credenciales,
importante…el atacante en un momento dado
realizo una consulta vía correo a la institución con
lo que logro obtener el diseño de la plantilla,
logos de la firma electrónica y cláusulas de
confidencialidad, de la institución colocando los
datos del personal de soporte real (confundiendo
con esto mucho más a las victimas)
2. Así también diseño un formulario a través de una fuente
gratuita (SurveyMonkey,jotform.com, encuestafacil), que
de cierta forma tiene conocimiento que las mismas se
han utilizado en más de alguna oportunidad.
a. El formulario solicita confirmar puesto, área,
código de empleado, nombre, apellido, correo
electrónico y contraseña (el formulario también
tiene logos y datos que simulan a la organización)
3. El formulario logro acortarlo a través de uno de los
servicios que permiten acortar direcciones Web por
ejemplo https://bitly.com/ (con lo cual logra llevar una
dirección de
https://www.encuestafacil.com/portada.aspx, a una
 mucho más reducida y menos sospechosa _dependerá
del nivel de concientización de los usuarios_)
4. Por favor genere y replique el escenario anterior, para
este caso, y para no generar ningún tipo de daño o
intrusión:
a. Para los puntos anteriores:
i. Punto 1: realice una investigación de que
tan expuesta puede estar una institución
explorando de forma manual cantidad
de empleados por ejemplo en linked in,
puesto, información de
contacto…recuerde esta es información
pública y accesible a través de las
plataformas de internet, al momento que
usted lo coloque o documento por favor
los datos sensibles de contacto puede
ocultarlos colocando una imagen sobre
los mismos. Otra opción que puede utilizar
es FOCA (este estará publica en GES), o
un analizador de metadatos equivalente
_que puede consultar en la internet_
ii. Diseñe un formulario con las
características descritas en el punto 2
(siempre coloque la nota que es un
formulario de prueba para el desarrollo de
habilidades y técnicas forenses)
iii. Proceda a enviar el formulario a una
cuenta de correo que sea de su control y
para efectos de prueba, bajo las
características siguientes:
1. Establezca un nombre para el
correo que haga sentido con
soporte técnico
2. Coloque los datos simulados de
una de las personas de soporte
que investigo y determino
3. Diseñe un cuerpo de mensaje
acorde al objetivo del atacante y
coloque el link de la encuesta en
un formato corto (por ejemplo
https://bitly.com/), y por favor
colocar siempre la nota en el
cuerpo del mensaje: que es un
formulario de prueba para el
desarrollo de habilidades y
técnicas forenses
iv. Documente cada una de las etapas
anteriores.
5. Guía de herramientas y pasos a realizar para el análisis:
a. Para envío de correo electrónico: puede utilizar
Guia The Social-Enginieer Toolkit está a través de
Kali Linux, sino cuenta con la herramienta puede
hacerlo de forma directa en la cuenta de
correo…
b. Tras recibir el correo en su bandeja de entada
(victima, este debería de ser otro correo bajo el
control del estudiante), debe de abrir le mensaje
en formato original o fuente del mensaje,
proceda a copiar todo el código, para después
pegarlo en un analizador de encabezados (por
ejemplo https://mha.azurewebsites.net/), de cual
en esta etapa interesará que defina que implica
cada título de header resultante y buscar datos
de usuarios y/o direcciones IP.
c. Al identificar las IP trate de establecer de que
país o donde esta su origen, para ello puede
colocar la misma en paginas de tipo ip locator en
Google u otras tecnologías mucho más
dedicadas
 d. Para el caso del link del formulario antes de
abrirlo (ya estando desde la perspectiva forense),
se recomienda lo explore, uno colocando el
puntero sobre el copiando el enlace original y
este colocándolo en urscan.io, virustotal.com,
entre otros que le permitan determinar
información importante para su investigación por
ejemplo donde esta alojada, a nombre de quien
esta registrado, el formulario a nivel de país,
dirección de servidores, % de malicius, acá
puede determinar el nivel de información que
puede aportarle a perfilar el caso de mejor
forma…esta es una opción hay muchas más ,
adicional puede generar una copia del sitio
implicado con (https://www.httrack.com/ para
un análisis mucho mas controlado y claro para
mantener una copia de los datos previo al análisis
“cadena de custodia”, de igual el formulario o
sitio podría escanearlo con foca para saber si hay
metadatos interesantes).

6. Para este caso hay que considerar que los datos de análisis
serán limitados ya que se realizara entre proveedores de
servicios de correo gratuito, en un caso la investigacion fuera
sobre dominios (al menos uno), conocidos la información
 puede ampliarse mucho más….ya que se pueden generar
bitácoras, datos de filtrado, investigar sobre el dominio y
usuarios relacionados por dar un ejemplo.
7. Importante trate de encontrar algún recurso que le permita
saber si los correos implicados en si ejemplo tienen presencia
en redes sociales, blogs, otros…. E incluso si han sufrido
alguna vulnerabilidad de exposición de datos (incluso
contraseñas ya que podría ser un caso de suplantación), por
ejemplo https://haveibeenpwned.com/, hay muchos mas
recursos similares.
8. Las herramientas son sugeridas su persona define si utiliza
otras…mejores, las acá plasmadas son una base inicial que
están al alcance de todos
9. Prepare un informe de este caso:
a. Estructura: (que la misma pueda cubrir)
i. Requerimiento
ii. Equipo Forense asignado
iii. Fechas del requerimiento
iv. Proceso de informática forense
1. Explicación del método
v. Conclusiones
vi. Anexos evidencias
1. Explicación de cada prueba
a. Imágenes de soporte
i. Las imágenes para su
veracidad deben de
tener código hash
(puede usar
https://www.nirsoft.n
et/utils/hash_my_file
s.html), la suite de
nirsoft le puede
interesar…
vii. Firmas de equipo auditor