Memorias de un Incident Handler: “email Man in the Middle”

Hace ya algún tiempo tuve la oportunidad de gestionar un incidente de seguridad utilizando una técnica de estafa basada en el clásico Man in the Middle, pero lo curioso es que el ataque no estaba ejecutado en capas de enlace, red o transporte sino en la de aplicación, más concretamente por correo electrónico. El caso fue el siguiente…

La empresa “A” solía realizar compras importantes de materia prima a proveedores residentes en otros países; para que éstos pudieran comenzar el proceso de producción, se les solicitaba a la compañía “A” un % inicial como adelanto. Cuando el pedido llegaba a la península, antes de su entrega, se procedía al pago de la cantidad restante.

Todas estas transacciones y gestiones de pedidos se realizaban por correo electrónico, intercambiando durante un período de tiempo: cantidades solicitadas, el estado del envío, precios y cuentas bancarias donde se realizan las transferencias de pago. Cabe destacar que el personal de la empresa “A” estaba acostumbrado a trabajar de esta manera y gestionaba decenas de pedidos con proveedores de varios países del mundo.

En uno de los intercambios de correos con uno de los proveedores asiáticos y justo en mitad de un hilo de contestaciones (típico Re:), el empleado de la compañía “A” recibe un correo de una dirección con el nombre de usuario similar al que él estaba acostumbrado a tratar, pero con un dominio perteneciente a Yahoo! Esta dirección correspondía con huyin@yahoo.com. Es decir:

En el cuerpo del correo dirigido al empleado de “A” venía ilustrado todo el contenido de la conversación mantenida en emails anteriores y le instaba a cambiar la dirección de contacto con él, por la nueva de Yahoo! (huyin@yahoo.com). El atacante alegaba que tenían problemas con el correo corporativo y que se veía forzado a utilizar su cuenta personal.

El empleado no sospechó ya que podía ver en el propio correo, la conversación mantenida anteriormente y que el estafador en un principio, conocía detalles de las actividades y gestiones mantenidas. Llego el día en el que el atacante le solicitó un cambio de la cuenta bancaria donde le tenía que realizar la transferencia del pedido; el empleado inicialmente sospechó, pero accedió a la petición y procedió al ingreso del restante de la operación. Esta transferencia era necesaria para poder recoger el material a su llegada. Cuando el trabajador le requirió los papeles necesarios para la retirada, el atacante no solo no accedió, sino que le solicitó el adelanto de una nueva partida de otro pedido.

El empleado escandalizado, llamó por teléfono al proveedor y ¿cuál fue su sorpresa? Este no sabía nada de la dirección de correo de Yahoo!, ni siquiera que se le hubiera realizado ningún pago. Es más, le enseñó diversos correos electrónicos remitidos desde una dirección empleadoA@yahoo.es, que por supuesto el empleado de “A” no había escrito. En estos emails enviados al proveedor se veía como a él le habían realizado la misma trampa, le sugerían utilizar un nuevo correo de contacto, completando de esta manera un perfecto Man in the middle vía correo electrónico.

El atacante, que tenía acceso al servidor de correo externalizado de la compañía “A” estuvo buscando buzones de correo, hasta dar con uno que manejara cierta responsabilidad en compras. En ese momento solo tenía que ponerse en medio de la comunicación diciéndole al empleado de “A” que utilizara un nuevo correo que él controlaba y lo mismo al proveedor. De esta manera todos los correos que a priori no son importantes para el atacante, tan sólo eran reenviados, a la espera de llegar a la fase de facturación y trasferencia, donde aprovechaba para introducir su propia cuenta bancaria.

Durante la investigación realizada se identificó que los estafadores utilizan una especie de red TOR situada en Nigeria para consultar el Webmail de sus cuentas de Yahoo! creadas. Se identificaron más de 100 IPs diferentes todas geolocalizadas en Lagos (Nigeria). Os dejo una pequeña muestra por si os las encontráis por vuestros logs. Espero que no…

  • 41.138.180.104 : Nigeria (Lagos)
  • 41.138.191.3: Nigeria (Lagos)
  • 41.71.172.3 : Nigeria (Lagos)
  • 41.71.176.164: Nigeria (Lagos)
  • 41.138.181.105: Nigeria (Lagos)
  • 41.71.150.227: Nigeria (Lagos)
  • 41.138.172.30: Nigeria (Lagos)
  • 41.71.178.215 : Nigeria (Lagos)
  • 41.71.171.78: Nigeria (Lagos)

Nos consta que este tipo de timos se están realizando a otras compañías, por lo que vigilad bien vuestro servidor de correo, en especial si lo tenéis externalizado en grandes proveedores de servicios que ofrecen un precio increíblemente barato, que salen habitualmente en la tele, pero que no se toman en serio la seguridad de los datos de sus clientes.

Comments

  1. Hay que andar con muchisimo cuidado, esto vuelve a ser cosa del sentido comun…me parece una manera “tonta” de timar a alguien pero si la persona afectada no tiene pautas o conocimientos de seguridad puede pasar. Lo mejor es dar un curso de pautas a los empleados en una empresa