Introducción
Los ciberdelincuentes no paran, están a la caza y a la
pesca todo el tiempo, y usando técnicas de Ingeniería Social, tratan de engañar
a usuarios de correo electrónico con el fin de tener un rédito, que básicamente
es un pago en bitcoins. Y este tipo comportamiento crece, porque ellos reciben
su pago.
Vamos a
analizar un correo recibido en el día de hoy
Impacto
Te imaginas que, al ingresar a tu casilla de correo, ¡ves
un correo con la leyenda “...ha sido hackeado! ¡Cambie su contraseña inmediatamente!",
debe generar en ti, una interesante cara de pánico a menos que estés tranquilo
con el uso que haces de la plataforma.
Los correos que
están circulando, dicen algo similar a esto (ahora en español):
Tengo malas
noticias para ti.
23/07/2018 - en este día pirateé su sistema operativo y obtuve acceso completo
a su cuenta edutra@puntonetsoluciones.com.ar.
Así fue como fue.
En el software del enrutador a través del cual se conectó, hubo una
vulnerabilidad.
Primero pirateé este enrutador y puse mi código malicioso en él.
Cuando ingresó a través de Internet, mi troyano se instaló en el sistema
operativo de su dispositivo.
Después de eso, hice un volcado completo de su disco (tengo toda su libreta de
direcciones,
historial de sitios de visualización, todos los archivos, números de teléfono y
direcciones de todos sus contactos).
Hace un mes, quería bloquear su dispositivo y pedir una pequeña cantidad de
dinero para desbloquear.
Pero miré los sitios que visitas regularmente. Estoy sorprendido por tus
recursos favoritos.
Estoy hablando de sitios para adultos.
Quiero decir que eres un gran pervertido. ¡Has desenfrenado la fantasía!
Después de eso, una idea vino a mi mente.
Tomé una captura de pantalla del sitio web íntimo donde te diviertes (sabes a
qué me refiero, ¿sí?).
Después de eso tomé una foto de tu entretenimiento (usando la cámara de tu
dispositivo).
El resultado fue genial! No lo dudes!
Estoy profundamente convencido de que no le gustaría mostrar estas imágenes a
sus familiares, amigos o colegas.
Creo que $252 es una pequeña cantidad para mi silencio.
¡Además, pasé mucho tiempo contigo!
Acepto dinero en bitcoins.
Mi billetera BTC: 14DRztZdJ8RHM954AYsUPrsTvYJk6g9h9j
¿No sabes cómo transferir dinero a Bitcoin?
En cualquier motor de búsqueda escriba "¿Cómo transferir dinero a
bitcoin".
¡Es más fácil que transferir dinero a una tarjeta de crédito!
Para el pago tienes un poco más de dos días (exactamente 50 horas).
No se preocupe, el temporizador comenzará en el momento en que abra esta carta.
Sí, sí ... ¡Ya ha comenzado!
Después del pago, mi virus y el compromiso contigo se autodestruyen
automáticamente.
Narrativa: si no recibo la cantidad especificada de usted, su dispositivo se
bloqueará y todos sus contactos recibirán una foto con su
"entretenimiento".
Quiero que seas prudente.
- ¡No intentes encontrar y destruir mi virus! (Todos sus datos ya están
cargados en un servidor remoto)
- No intente contactarme (esto no es factible, le envié un correo electrónico
desde su cuenta)
- Varios servicios de seguridad no lo ayudarán; formatear un disco o destruir
un dispositivo tampoco ayudará, ya que sus datos ya están en un servidor
remoto.
P.S. Te garantizo que no te molestaré otra vez después del pago, ya que estás
lejos de mi única víctima.
Este es un código de honor hacker.
A partir de ahora, le aconsejo que use buenos antivirus y que los actualice
regularmente (varias veces al día).
No te enfades conmigo, cada uno tiene su propio trabajo.
Adios
Más allá de analizar el correo, toda una narración que
puede o no engañar al receptor del correo, observamos que genera inquietud y
trata de atemorizar al usuario. En las últimas versiones ya ni siquiera mandan
un dato conocido por el usuario para tratar de convencerlo que es verdad lo que
se está narrando. En las versiones anteriores mandaban alguna contraseña
conocida obtenida de bases de datos robadas como las que figuran en el sitio
https://raidforums.com/, como para darle algún soporte o veracidad al e-mail.
Si bien el correo parece ser enviado por el mismo
usuario, vamos analizar el encabezado, podemos usar para eso, el sitio https://mxtoolbox.com/, en donde hay una
opción en donde podemos obtener un detalle disgregado del encabezado del correo
electrónico.
Headers Found
Header Name
|
Header Value
|
Delivered-To
|
edutra@puntonetsoluciones.com.ar
|
X-Google-Smtp-Source
|
AFSGD/Ub9Ux/cgwOS/3NA39aaNT3omrX3uaL0MU/tYDE+Pxt4oWU2EzKn3GmOTGj+eO/FXLsobXn
|
X-Received
|
by
2002:adf:c3c9:: with SMTP id d9mr18579972wrg.68.1543105400384; Sat, 24 Nov
2018 16:23:20 -0800 (PST)
|
Received
|
from
14-203-206-149.tpgi.com.au (14-203-206-149.tpgi.com.au. [14.203.206.149]) by mx.google.com with ESMTP id
j68si9838716wmi.162.2018.11.24.16.23.18 for
<edutra@puntonetsoluciones.com.ar>;Sat, 24 Nov 2018 16:23:20 -0800
(PST)
|
From
|
<edutra@puntonetsoluciones.com.ar>
|
To
|
<edutra@puntonetsoluciones.com.ar>
|
Subject
|
edutra@puntonetsoluciones.com.ar ha sido hackeado! ¡Cambie su contraseña inmediatamente!
|
Date
|
25
Nov 2018 18:59:16 +0900
|
Message-ID
|
<001701d484a8$03493e2d$42bfcc86$@puntonetsoluciones.com.ar>
|
MIME-Version
|
1.0
|
X-Mailer
|
Microsoft
Office Outlook 11
|
Thread-Index
|
Ac0g3lo5x1scxi8c0g3lo5x1scxi8c==
|
X-MimeOLE
|
Produced
By Microsoft MimeOLE V6.1.7601.17514
|
Y encontramos datos interesantes.
1) Mail enviado desde 14-203-206-149.tpgi.com.au,
dirección IP 14.203.206.149.
2) El SMTP verificado, es el 14-203-206-149.tpgi.com.au,
puerto 25.
3) Google recibe el correo, enviado por un Ms Office
Outlook.
4) Según Mxtoolbox esta dirección de DNS e IP ya se
encuentra en listas negras.
5) Si buscamos el monedero en www.blockchain.com, observamos que ya hay
gente que ha caído en las garras del intruso y ha pagado
Análisis del correo
A pedido de algunos lectores, hemos realizado comentarios al e-mail que manda el ciberdelincuente. Los comentarios, los pusimos en rojo para mejor lectura.
Te saludo!
Tengo malas noticias para
ti.
23/07/2018 - en este día
pirateé su sistema operativo y obtuve acceso completo a su cuenta edutra@puntonetsoluciones.com.ar.
(Hace referencia a una fecha muy vieja, por que seguro no
tienes memoria o no te acuerdas)
Así fue como fue.
En el software del
enrutador a través del cual se conectó, hubo una vulnerabilidad.
Primero pirateé este
enrutador y puse mi código malicioso en él.
(NO puso que marca ni un dato que nos permita saber que enrutador o router
hace referencia)
Cuando ingresó a través de
Internet, mi troyano se instaló en el sistema operativo de su dispositivo.
(Es posible que
el antivirus de tu equipo lo detectara o no, te acuerdas de alguna detección).
Después de eso, hice un
volcado completo de su disco (tengo toda su libreta de direcciones,
historial de sitios de
visualización, todos los archivos, números de teléfono y direcciones de todos
sus contactos).
(Si esto fuera así, llevaría un tiempo interesante en copiarse el disco
completo!!!, puede ocurrir que tenga alguna información, pero es poco creíble
que tenga todo el disco, el tiempo que le llevaría y la lentitud de acceso a
Internet debería haber despertado alguna sospecha en ti)
Hace un mes, quería bloquear su dispositivo y pedir una pequeña cantidad de
dinero para desbloquear.
Pero miré los sitios que
visitas regularmente. Estoy sorprendido por tus recursos favoritos.
Estoy hablando de sitios
para adultos.
Quiero decir que eres un
gran pervertido. ¡Has desenfrenado la fantasía!
(no hace referencia de nada, por lo cual no tiene pruebas de que esto fuera
realmente así, esta tanteando, si tuviera evidencia la usaría para darle más
soporte al correo que te envía. Ahora la intrusión sería personalizada, no
podría hacer esto tan masivo).
Después de eso, una idea vino a mi mente.
Tomé una captura de
pantalla del sitio web íntimo donde te diviertes (sabes a qué me refiero,
¿sí?).
Después de eso tomé una
foto de tu entretenimiento (usando la cámara de tu dispositivo).
El resultado fue genial! No
lo dudes!
(Sugerimos tener la cámara Web tapada y no acceder a sitios dudosos, en la mayoría
de los casos, cuandos e activa la cámara, te das cuenta por que se enciende una
luz al lado. Estuvo viendo mucho Black Mirror este spammer).
Estoy profundamente
convencido de que no le gustaría mostrar estas imágenes a sus familiares,
amigos o colegas.
(Cuales? Que contenidos? Que familiares? Está solo tanteando nada más).
Creo que $252 es una pequeña cantidad para mi silencio.
¡Además, pasé mucho tiempo
contigo!
Acepto dinero en bitcoins.
Mi billetera BTC: 14DRztZdJ8RHM954AYsUPrsTvYJk6g9h9j
(Es la única manera de pagarle, ya que es una transferencia de un pago que
no se puede rastrear, por eso lo hace con btc).
¿No sabes cómo transferir
dinero a Bitcoin?
En cualquier motor de
búsqueda escriba "¿Cómo transferir dinero a bitcoin".
¡Es más fácil que
transferir dinero a una tarjeta de crédito!
Para el pago tienes un poco
más de dos días (exactamente 50 horas).
No se preocupe, el
temporizador comenzará en el momento en que abra esta carta. Sí, sí ... ¡Ya ha
comenzado!
(El correo no tiene acuse de recibo, él no puede saber nunca si leíste o no
el correo, a parte el correo emisor eres tú mismo, excepto que el dispositivo
tenga un keylogger, no hay manera de que él sepa que has leído el correo)
Después del pago, mi virus
y el compromiso contigo se autodestruyen automáticamente.
Narrativa: si no recibo la
cantidad especificada de usted, su dispositivo se bloqueará y todos sus
contactos recibirán una foto con su "entretenimiento".
(Ejecuta un análisis del antimalware y verifica si hay algún código malicioso,
si no hay nada, no hay de que preocuparse. Por otro lado no puedes confiar que
luego de un pago, tenga la gentileza de borrar algo, más allá que no tiene nada
que borrar porque no ha capturado información alguna).
Quiero que seas prudente.
- ¡No intentes encontrar y
destruir mi virus! (Todos sus datos ya están cargados en un servidor remoto)
- No intente contactarme
(esto no es factible, le envié un correo electrónico desde su cuenta)
- Varios servicios de
seguridad no lo ayudarán; formatear un disco o destruir un dispositivo tampoco
ayudará, ya que sus datos ya están en un servidor remoto.
(El no muestra ninguna evidencia de este chantaje, por lo cual, no debe
tener ninguna información de la PC, solo debe tener tu casilla de correo
electrónico a donde se envió el e-mail.)
P.S. Te garantizo que no te
molestaré otra vez después del pago, ya que estás lejos de mi única víctima.
Este es un código de honor
hacker.
A partir de ahora, le
aconsejo que use buenos antivirus y que los actualice regularmente (varias
veces al día).
(trata de ser condescendiente contigo, pero esto no es un trabajo, es básicamente
un chantaje y no hay ética en ello).
No te enfades conmigo, cada
uno tiene su propio trabajo.
Adios
Pasos a seguir
No dejarse intimar por estos correos, por si tienes alguna
duda, puedes hacer lo siguiente:
1) Verificar que tu ordenador está limpio,
ejecutando un escaneo de tu plataforma antimalware o antivirus. Siempre ten instalado una protección contra códigos maliciosos.
2) Cambia la contraseña de tu
ordenador y acceso al correo electrónico, como redes sociales periódicamente.
3) No
accedas a sitios de dudosa reputación.
4) No ingresar a sitios que te sugieran los
correos electrónicos de desconocidos. Si algún conocido te envía algún link o
archivo adjunto valídalo con él.
5) No abrir archivos adjuntos de personas que
desconoces.
6) Tener estos mismos cuidados en tu dispositivo movil si el mismo es un smartphone.
7) Mantener la plataforma actualizada, todos los fabricantes de software lanzan periódicamente actualizaciones para sus productos.
8) NO pagues de ninguna manera lo que te piden.
Si las dudas persisten, contacta a un experto en Ciberseguridad!!.
Ser precavidos!!!
Hasta la próxima.