Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hoja de respuestas
Ciberinteligencia
Caso 1
Análisis de Evidencias
También se pudo evidenciar en los Logs de acceso, como el atacante utiliza por
primera vez la cuenta robada (con IP 77.72.83.26), el 23 de noviembre a las
09:45, siendo partir de aquí que empieza a ser utilizada esta cuenta para sus
propósitos.
Por último, en el log-mail, se pudo descubrir que el atacante envió por primera
vez su Phishing (con el asunto FW: Validate Email Account) desde una cuenta
llamada verify@microfoft.com, justo unos minutos antes (09:40), que empezara
a usar la cuenta robada. Siendo así que, se confirma que una vez conseguido los
datos de acceso de la cuenta robada, el atacante procedió a renviar el phishing
inmediatamente (09:51), a los demás empleados de la empresa
(m.will.smith@ficticy.us, l.stephan.martin@ficticy.co.uk, l.martin.fierre@ficticy.es,
j.rodriguez.maceda@ficticy.es, s.mick.resce@ficticy.nl)
En este caso, mediante el análisis de los recursos obtenidos para el estudio del
mismo, se pudo observar que se suscitó, un claro incidente de una suplantación
de página web, suplantación de una identidad y, el robo de datos sensibles. Una
vez obtenidos estos datos (para el acceso a la cuenta corporativa), se utilizó una
campaña de distribución de phishing, concretamente de tipo Spear phishing, ya
que el objetivo del atacante, han sido los empleados de la empresa Ficticy SL.
¿Cómo se ha podido producir el suceso?
Una vez que el atacante se hizo con las credenciales de la cuenta corporativa de
la víctima, mediante su primer phishing enviado a este, a las 09:40 AM; el
atacante, accedió de manera ilícita a esta y utilizó los contactos de la cuenta
víctima, para minutos más tarde, proceder a enviar la misma campaña de
distribución de phishing. Todo esto, con la clara intención de buscar conseguir
una mayor credibilidad a su Phishing, realizando estos envíos desde una cuenta
legitima y de la misma empresa.
Analizando el código del sitio web (archivos HTML y PHP), se puede encontrar
que, en el código HTML, se hace el envió de los datos ingresados por la víctima
en los box (username y password) de la página web phishing, a un archivo php
(post.php); y este segundo archivo a su vez, dentro de su código tiene una
orden para capturar y enviar estos datos a un correo electrónico,
específicamente a ejercicio_modulo1@ciberinteligencia.es ($recipient =
"ejercicio_modulo1@ciberinteligencia.es"). Con su respectivo asunto ($subject =
"Accounts nPost")
Plan de Mitigación
Por último, no solo para evitar la infección, sino también su propagación una
vez infectado algún empleado, se debería usar filtros web y de correo
electrónico, entre otros, ya que, con una correcta aplicación y configuración de
estos, se puede bloquear los ataques de phishing, los remitentes falsificados, los
tipos de archivos maliciosos, los URL incorrectos, etc.
El plan de continuidad