jueves, 8 de mayo de 2014

Los tres clicks


Uno de estos días recibí una invitación para una charla del tema de agiles. Lo que me llamó la atención es que todos los links de incripción, contacto y reenviar a un amigo eran a una dirección con esta forma:

http://t.ymlp286.net/XXXXXXXXXXXXXXXXXXXXX/click.php


donde XXXXX son secuencias de letras sin sentido, ya volveremos sobre esas letras sin sentido.

Como la charla me interesaba, busqué por otro lado el sitio de la institución que la dictaba y logré encontrar las referencias a la charla y el sistema de inscripción.

El problema al haber utilizado este sistema de campañas, es que pudo haberlo hecho cualquiera ajeno a la institución, con el objetivo de obtener direcciones calificadas para spam, información sensible utilizable en phishing o incluso, con un poco de atrevimiento, información de tarjeta de crédito.


Las letras sin sentido


Esas secuencias de letras sin sentido sirven como identificador ante un sitio web. Si se ha enviado a cada dirección una secuencia distinta, al hacer uno el primer click está revelando desde que dirección de mail se accede, dándole al atacante esta información:

  • el mail es válido
  • una persona lo lee
  • a esa persona le interesa el tema
  • esa persona no mira donde hace click

La implementación es sencilla: se crea una regla que redirija internamente todo lo que termine en click.php a un click.php real.

http://t.ymlp286.net/sdfkenskf/click.php -> http://t.ymlp286.net/click.php

Lo interesante es que click.php se fija cual fue la url con la que fué invocado y obtiene las letras sin sentido, que busca en la base de datos:

    Id         mail               hizo click?
    sdfkenskf  victima1@email.com no
    ekdkrkesr  victima2@email.com no


Ahora sabe que hizo click

    Id         mail               hizo click?
    sdfkenskf  victima1@email.com si
    ekdkrkesr  victima2@email.com no


Este método de rastrear direcciones de mail no necesariamente corresponde a un ataque, es simplemente una valorización de una base de datos de contactos, de la cual alguien sacará provecho así que siempre es, de un modo u otro, un ataque, lo siento, me estaba contradiciendo. No olvides que si no lo estás pagando, entonces vos sos el producto[1].

Si esa persona además hace el segundo click y procede a inscribirse, revela la siguiente información:

  • quizás otro mail
  • nombre y apellido
  • dni
  • telefono(s)
  • empresa
  • actividad
  • ¿estaría interesado en la oferta que no podrá rechazar con respecto a una actividad arancelada?

El atacante toma nota de esta información y haciéndose pasar por la víctima, se inscribe en el sistema real, con lo cual ni la víctima ni la entidad organizadora nota nada extraño.

Si la persona además hace el tercer click, "estaría interesado en la oferta que no podrá rechazar con respecto a una actividad arancelada", a la brevedad es contactada por una promotora telefónicamente o recibe de una dirección de mail con aspecto profesional una oferta especial para pagar utilizando su tarjeta de crédito... ¿sigo?

El costo del ataque es:
  • buscar un evento y en unas pocas horas armar un sitio y configurar el servicio con una estética acorde
  • obtener una lista de personas potencialmente interesadas
  • estar atento un tiempo esperando a que caigan las víctimas
  • sacar el dinero del sistema bancario antes que lleguen los reclamos de los estafados a la institución, que es otro tema que no corresponde a este blog


Cuando hace pocos dias un muchacho alertó sobre la vulnerabilidad de movistar, se armó una cierta polémica acerca de la "revelación responsable", o sea, si avisar a todo el mundo que existe el problema alertando tambien a potenciales atacantes o ser más discreto y avisar sólo al responsable y darle tiempo a corregir.

En el caso de movistar, la difusión provocó que durante un día se pudiera invadir la privacidad de los clientes de movistar y tambien que se resolviera en un día. La persona que difundió asumió que ya había informado, pero dado su desconocimiento y falta de criterio en como informar, de hecho no informó. Como que torpe pero buen intencionado. Lamentablemente, difundió la noticia en una lista de seguridad y nadie, incluyéndome, tuvo el acierto de señalarle su error antes de que se difundiera a los medios.

Volviendo a este caso, yo no puedo saber si es un ataque o no, así que consulté a la organización. Tenía el problema de la prisa, pues si no me contestaban con celeridad, me vería obligado a avisar a las personas que pudieran haber recibido el mail antes de que fueran víctimas. En ese caso hubiese corrido el riesgo de que no fuera un ataque y me restara credibilidad para futuros anuncios.

Afortunadamente, la respuesta llegó a tiempó, no era un ataque, guarden las pistolas, circulen.

Desde el punto de vista institucional, me parece una mala práctica utilizar estos servicios contando con infraestructura propia. Obviamente, la elección está dictada por factores económicos, es mucho más barato si no gratuito usarlas, frente al costo administrativo de utilizar un sistema propio.

En última instancia, lo veo como una transferencia del riesgo a nosotros y se nos educa en que este es un comportamiento válido y normal, abonándose el terreno para futuras estafas. Fijate que en el escenario de ataque que presenté, la institución no resulta damnificada.

-¿Por qué no me acreditaron el pago de XXX?
-Por que nada hemos recibido
-¿Cómo, si yo pagué por este medio/me contacté con tal/me habló tal?
-No fuimos nosotros (mientras se escucha de fondo entre risas: "hay gente que es tarada, no?")
-¿Y cómo puedo saber a quién le estoy pagando?"

Ahí es cuando la imagen se congela y aparece el vende humo.
-Para estar protegido, es fundamental plin, plin, plin, pague aquí.


Defensa Personal Informática

Las soluciones técnicas sólo pueden ser implementadas por quienes proveen los servicios y con un costo, lo cual ya nos sugiere que tanto pueden ocurrir.

No hay ninguna garantía, pero si sabemos, disminuimos las probabilidades de caer en un ataque directo, si comprendemos como se difunde nuestra información y como escapa a nuestro control, quizás si podamos controlar que no se difunda, al menos voluntariamente.

Este blog en general esta impregnado con esa tematica. En particular he escrito acerca de privacidad [2][3][4][5], de diversos leaks[6][7] y estoy experimentando con escolares[8][9], de explicarles como funciona Internet sin decirles que hacer y que no hacer, pero no sé si servirá de algo, no tengo con qué medir.

En última instancia, lo único que nos defiende es nuestro buen criterio y experiencia, pero el primer click ya lo hicimos.

[1] http://www.forbes.com/sites/marketshare/2012/03/05/if-youre-not-paying-for-it-you-become-the-product/
[2] http://seguridad-agile.blogspot.com/2014/02/medidas-contra-el-anonimato.html
[3] http://seguridad-agile.blogspot.com/2014/02/medidas-contra-el-anonimato.html
[4] http://seguridad-agile.blogspot.com/2014/02/proveyendo-anonimato.html
[5] http://seguridad-agile.blogspot.com/2012/07/privacidad-y-buenas-intenciones.html
[6] http://seguridad-agile.blogspot.com/2013/11/leak-adobe.html
[7] http://seguridad-agile.blogspot.com/2013/05/leak-mortal.html
[8] http://seguridad-agile.blogspot.com/2012/11/privacidad-en-internet-para-escolares.html
[9] http://seguridad-agile.blogspot.com/2014/04/privacidad-en-internet-para-escolares_22.html

1 comentario: