En los últimos días ESET ha detectado una campaña a través del correo, que aún está activa, y que tiene la particularidad de que el mensaje que llega al usuario fue enviado desde su propia cuenta, lo que lleva a la víctima a suponer que el atacante tiene acceso a su cuenta. A través de un mensaje intimidatorio, se le hace creer al usuario que su computadora ha sido infectada con un troyano y que ahora el atacante posee su información confidencial. El objetivo final del correo es una estafa, donde se solicita un pago a la potencial víctima.
Suplantación de cuentas de correo mediante spoofing
La clave de la campaña se encuentra en la dirección desde la cual está siendo enviado el correo. Mediante una técnica conocida como spoofing, el atacante hace creer a la víctima que el correo ha sido enviado desde su propia cuenta de correo, buscando que este realmente crea que la misma ha sido comprometida y se encuentra en poder del atacante.
La técnica de suplantación es utilizada en el protocolo de correo SMTP, dado que éste no incluye un mecanismo de autenticación. Por lo tanto, si no se toman las medidas de precaución adecuadas a la hora de configurar los servicios de correo electrónico, cualquiera puede enviar correos falsificados, que a simple vista parecieran provenir de una dirección o un dominio legítimo, pero que en realidad no corresponden con el emisor.
Para analizar esta problemática se revisan los registros SPF (Sender Policy Framework), ya que sirven para identificar uno o varios servidores autorizados para el envío de correos de un determinado dominio; dado que el objetivo de este registro es identificar correos electrónicos que han sido enviados desde servidores de correo no autorizados.
En el caso de estos correos fraudulentos recibidos por los usuarios, el análisis de la cabecera de los mensajes recibidos muestra que el correo fue enviado desde un servidor no autorizado para enviar correos del dominio de la víctima. Es decir, que se trata de un claro caso de suplantación.
Si bien hoy en día la mayoría de los servicios de correo utilizan los registros SPF para identificar correos fraudulentos, de spam o para marcarlos como peligrosos o no deseados, lo cierto es que una buena práctica consiste en verificar las cabeceras de los correos para corroborar que la dirección del remitente es legítima.
Monetización de la campaña de extorsión
Detrás de este tipo de campañas existe un propósito económico. A cambio de borrar la información confidencial supuestamente obtenida por el atacante, se solicita un pago mediante el envío de Bitcoins.
Hasta el momento de escribir esta publicación, la billetera contaba con 0.35644122 Bitcoins, equivalente a poco más de 2.400 dólares, con un par de transacciones realizadas durante los días que la campaña ha estado activa, lo que hace suponer que algunas personas han caído en el engaño.
Este tipo de campañas pueden arrastrar a muchas víctimas si no están atentas. En el caso de la campaña de sextorsión que estuvo activa en el mes de julio y que mencionamos al comienzo de este artículo, los cibercriminales lograron recaudar cerca de medio millón de dólares de víctimas de distintas partes del mundo.
Sigue leyendo: Campaña de extorsión activa envía correo que simula ser desde la cuenta de la víctima
[+] Videos de nuestro canal de YouTube
