Pescando giles
El phising (palabra derivada de “pescar” en inglés) es una práctica que -lamentablemente- se ha visto en Uruguay en los últimos años. Consiste en un tipo de estafa que busca simular correos y/o sitios web de empresas (principalmente financieras) para obtener los datos de un usuario y sacarle dinero (a veces robándolo, otras veces chantajeandolo mediante “secuestros” de cuentas de correo, Messenger, Facebook, etc. y/o con información personal). Hasta ahora se veían los casos más comunes que son los de los bancos (ya los hubo de Santander, BBVA y Crédit Uruguay), pero hoy en los comentarios del artículo del viernes Aldo nos contó de una de éstas estafas apuntada a los usuarios de Ancel.
Mientras escribía el artículo, descubrí que Montevideo COMM reportaba otro caso (posiblemente relacionado) que denunciaron a Antel y en consulta con el Ing. Eduardo Carozo, Gerente de Seguridad de la Información de Antel éste recomienda que toda sospecha sea derivada al CSIRT (Gestión de Incidentes de Seguridad Informática y de Telecomunicaciones).
Hay que estar siempre muy atento a todo lo que pueda resultar sospechoso antes de ingresar nuestros datos en un sito. En el primer caso, el diseño es digno de un folleto de pizzería (especialmente la tipografía y el clipart de la manito), además de que para alguien con algo de memoria se nota que está basado en una promo del 2008 (¿INJU Rock?). Mirando atentamente, hasta se ve que la esquina superior izquierda tenía algo que se boró y dejó el fondo desparejo. También lo delata el esfuerzo por poner el logo de Verisign (compañía de certificación de seguridad) muy grande, cuando Ancel ni lo usa. Lo mismo con los logos de las tarjetas (¡que hasta incluyen American Express!).
En un caso donde el diseño de imita bien las herramientas fundamentales son el ícono de conexión segura (un candadito que según el navegador aparece en la barra inferior o en la de navegación) y el dominio (popularmente conocido como “la dirección” de un sitio). Si no es exactamente el del sitio que buscamos, probablemente estemos ante una estafa. Lo único que puede cambiar es el subdominio que viene antes del “loquesea.com.uy”.
Por ejemplo los siguientes NO SERÍAN VERDADEROS:
- www.ancel.otracosa.com.uy (el domino no es “ancel.com.uy”, sino “otracosa.com.uy”).
- www.ancel.com.oc (el domino no es “ancel.com.uy”, sino “ancel.com.oc”).
- ancel.comuy.oc.com.uy (el domino no es “ancel.com.uy”, sino “oc.com.uy”).
Serían validas* cosas como:
- servidor1.ancel.com.uy
- servicios.ancel.com.uy
- recargas.ancel.com.uy
*Ninguna de las anteriores es válida, de hecho Ancel no usa nunca subdominios.
Resumiendo, lo más importante es estar al alpiste y ante la menor duda -realmente la menor- no poner nuestros datos, llamar, averigüar y denunciar si es necesario. No se arriesguen y sobretodo busquen los detalles que simplemente no cuadran.
Cuídense que nos quieren agarrar de giles.
Emm.. http://www.csirt-antel.com.uy cae en el primer ejemplo de “otracosa.com.uy” y no es una empresa comercial, por lo que no corresponde el “.com.uy”, y debería ser csirt.gub.uy o csirt.antel.com.uy (si la querían hacer fácil). Que Antel sea la registradora de “.com.uy” no debería permitirse registrar cuanta cosa se le antoje. Un poco de ejemplo, podría poner, no?
Lo que me sorprendió bastante que exista. Lo voy a tener en cuenta y volveré a “medir” su velocidad de respuesta. Ya van 2 semanas Anteldata y 3 semanas Ancel.
Por otro lado habría que denunciar los sitios que están configurados como seguros (https:) y no registraron el certificado digital ante una certificadora reconocida. Ej https://servicios.dgi.gub.uy y había otra de Ancel que ahora no quiero buscar.
Alcanza para que un virus o espía le ponga una línea en el archivo “hosts” y el dominio puede ser redirigido a un sitio falso sin que se note nada. Si el sitio falso es como un proxy, que redirige todo al sitio original, hasta funcionaría todo, tus cuentas, tus datos. A esto se le llama “man in the middle” (hombre en el medio). Para eso es que los sitios seguros usan clave digital, sinó son inseguros y se debería desaconsejar y desalentar el poner excepciones para seguir usándolo mal.
Los browsers modernos son cada vez menos permisivos y para el usuario medio es muy confuso el procedimiento de ignorar la advertencia.
¡Tal cual! Ni lo había pensado (bueh, después de que tuve que reescribir 3/4 del artículo a las 2:00 a.m. ya no podía pensar demasiado). La verdad que un subdominio era mucho mejor. Ah, y otra cosa, si nos guiamos por el diseño ¡también genera sospechas! Jejeje.
Lo del “.com” me parece discutible. Antel es una empresa estatal, pero comercial al fin. Si fuera el “Centro Nacional de Seguridad Informática” (estilo organismo público descentralizado) todavía, pero es parte de Antel que al final es una empresa.
Espero esas estadísticas de respuesta… jejeje. Igual yo sé que usted es cumplidor, las de Ancel las viniste a contar al mismo hilo de discusión aunque hayan pasado esas 3 semanas.
Lo que contás de la falta de certificado no es menor. Supongo que va a ser lo primero que denuncies al CSIRT. ¿No?
Habría que corregir algunos links en el artículo. Ahora que miro mejor, es indudablemente dependiente de Antel, lo que requeriría un subdominio. Y que Antel es com.uy ninguna duda, está perfecto, “demasiado perfecto”.
Ya me registré a la lista, aunque para sorpresa está en https://mail.csirt-antel.com.uy/, si, y aunque no lo puedan creer no tiene firma válida, y para peor pide usuario y contraseña, que luego de cancelarla como 5 veces, uno puede navegar igual.¿!?
Pero si querés un auténtico WTF de DNS, tenés este http://www.cert.uy/ ¿no es que SeCIU no registra dominios de segundo nivel?
Es el Centro Nacional de Respuesta a Incidentes en Seguridad Informática, tomá!!!
Y con todo el diseño de celestitos de AGESIC, pero este si tiene RSS. Vamos progresando.
El comentario sobre el certificado es muy real… ahora, las observaciones sobre el dominio me parecen una tonteria; y de hecho no viola ninguna politica sobre registracion de dominios y Antel podria defender ese dominio contra cualquier pedido de disputas (UDRP del ICANN por ejemplo), ya que cualquier dominio que contenga “antel” como parte del mismo, Antel lo defiende tranquilamente sobre la base de la propiedad de la marca “Antel”.
Lo mas relevante en un dominio es que se entienda de que se trata y sea descriptivo, sin violar las politicas de gestion de los TLDs, el resto es discusion vacía.
Marcelo, lo del dominio que a mí me llama la atención es lo que agrega en confusión, no un tema de violar normas. Si Antel no mantiene un único dominio para todo (antel.com.uy), abre la puerta a que la gente termine erróneamente confiando en dominios que incluyen el nombre Antel. ¿Me explico?
Hola de nuevo,
Chino, entiendo tu razonamiento y voy a re-frasear mi respuesta anterior.
- Tu argumento sobre el dominio (en el sentido de guiar confianza en el usuario) me parece valido, pero me parece que el tipo de dominio a usar se tiene que sopesar contra otros factores, como ser el que los potenciales usuarios del centro de respuesta se lo acuerden facilmente, etc.
- La confianza basada en la terminacion, o la “forma” del dominio, es una herramienta relativamente débil, ya que ninguna organizacion (salvo alguna muuuy grande) puede tener control sobre todas las posibles registraciones que se puedan hacer con su nombre. En el caso mismo de Antel, en otras epocas el “adinet.com” alojaba un sitio porno, por ejemplo
Y el “.com” seria un caso facil a atacar, imaginen las registraciones como “antel.tu”, “antel.nv”, “antel.tk”, hay montones de TLDs con politicas obscuras y que viven de la registracion de dominios para usos raros.
- La confianza basada en URL falla en el caso de un ataque de pharming, o de vulnerabilidades de infraestructura (“cache poisoning” de DNS por ejemplo)
- Creo que hay que formar al usuario, no solo en la terminacion de las URLs, sino mas bien en realizar un análisis educado de la propuesta que tiene delante suyo. Y siempre va a haber gente que caiga, el famoso “cuento del tio” siempre existió, desde antes de las computadoras y de la Internet.
Sobre los comentarios de Eduardo:
- Si, Antel, y de hecho cualquier otra empresa, tienen todo el derecho de registrar lo que quiera bajo el “.com.uy” siempre que se respeten las politicas vigentes. De hecho, cualquier empresa puede registrar casi cualquier cosa que contenga sus marcas registradas como parte del dominio, y lo va a poder defender tranquilamente de cualquier observación que se le quiera hacer.
- Sobre los subdominios. Como tecnico, y desde un punto de vista purista, yo comparto que habria que hacer mejor uso de los subdominios, pero los usuarios tienen como grabado a fuego en la cabeza de que solamente existen dos o tres niveles, es decir el “algo.com” o el “algo.com.uy”, y si uno les pide usar otra cosa, inevitablemente hay problemas.
Marcelo, absolutamente de acuerdo en que hay otros criterios con que se fijan los dominios. El comentario iba puntualmente a ese tema de no facilitarle a andie hacer phishing, de forma aislada, no es una “receta” ni mucho menos. Cuando hablo de la “forma” del dominio me refiero a la forma “completa” (en tu ejemplo “adinet.com.uy”, no “adinet.com”). Claro que no es una garantía absoluta, pero el espíritu no era dar seguridad absoluta (no tengo ni la menor idea de la mayoría de las formas que podrían engañarme), sino evitar los casos más evitables con una fórmula sencilla que cualquiera pueda más o menos aplicar, sin mucho conocimiento técnico. Ojo, se agradece muchísimo las aclaraciones porque siempre es bueno ampliar la información, cuanto más y más profunda, mejor.