La famosa estafa del CEO cada día se perfecciona más y cada día causa más víctimas en todo el mundo tal y como vimos en el ciberdebate ‘Estafa del CEO ¿qué es y cómo funciona este fraude financiero?‘ y también en el ejemplo de la estafa del CEO de la EMT en Valencia que se comentó en el dedicado al ‘¿Qué es el Vishing? Estafas y engaños que llegan por llamadas telefónicas‘.
Bien, pues a su paso por Palabra de hacker el especialista en ciberseguridad Eduardo Sánchez comentó una investigación que llevaron a cabo y que evidenció que hay una gran cantidad de dominios vulnerables a la estafa del CEO por una mala configuración en las políticas de seguridad SPF, DKIM y DMARC de los servidores de correo. Nada más y nada menos que el 62% de los .es son dominios vulnerables a esta estafa lo que allana de una manera brutal la labor a los ciberdelincuentes a la hora de preparar este tipo de ataques.
A raíz de esta investigación desarrollaron la herramienta Sergeme para testear los servidores de correo y lanzaron la página web estafadelceo en la que se puede comprobar si un dominio es vulnerable y toca revisar, o reclamar, la seguridad en el servidor. A continuación está recogida una demo con la herramienta que muestra lo sencillo que es colar un correo en la bandeja de entrada suplantando la identidad del dominio de correo y su explicación sobre la investigación de los dominios vulnerables .es tanto en vídeo como en podcast. Añado a su vez la transcripción íntegra aprovechando el subtitulado que hago para el vídeo para facilitar que el mensaje llegue sin barreras a todo el mundo.
Eduardo Sánchez (@eduSatoe) es Ingeniero Informático especializado en seguridad Android, Profesor de Formación Profesional y CEO de AllPentesting además de co-fundador de la comunidad Hack&Beers, Co-organizador de las jornadas de seguridad informática QurtubaCon, organizador de Security High School y vicepresidente en la asociación ANPHacket.
Vídeo
Podcast
PoC – Dominios vulnerables: así de sencillo envían un correo fraudulento a la bandeja de entrada suplantando la identidad
La web de estafa del CEO al final es una web que creamos a partir de una investigación que hicimos. Pues este ataque que comentábamos antes de 10 millones de euros (ver el ciberdebate sobre la estafa del CEO al completo) pues me dediqué a investigar un poco los servidores de correo, cómo están configurados los servidores de correo de tal forma que si se puede realmente falsear la persona que te está enviando un correo electrónico.
Entonces detectamos que esta estafa que entró directamente estaban falseando el servidor del propio CEO utilizando esta técnica, es lo que se conoce técnicamente como un open relay. Os voy a poner un ejemplo. Al final creamos esta herramienta que se llama Sergeme. Esta herramienta lo que hace es testear los diferentes servidores de correo electrónico.
Aquí veis ejemplos de cómo sin tener yo cuenta en un dominio de algunos hosting como pueden ser Nominalia, 1and1, OVH, Strato, diferentes servidores de hosting que son vulnerables. Y bueno os voy a presentar una POC, un ejemplo donde vais a ver. Esta es la herramienta Sergeme directamente el dominio estafadelceo es sobre el que vamos a hacer la prueba. Vais a ver cómo voy a mandar un correo haciéndome pasar pues por un correo cualquiera de dentro de la empresa. Al final lo único que estamos haciendo es interactuar con el protocolo de envío de correo SMPT del servidor.
Bueno tenemos en este caso Sergeme, detrás tenemos la bandeja de entrada del CEO que es ceo@estafadelceo.es y digo oye quiero testear estafadelceo que va en el puerto 25 por defecto el protocolo le voy a poner el nombre fake, quiero que se mande un correo haciéndome pasar por eduardosan, eduardo@estafadelceo.es. Directamente yo no tengo cuenta en el dominio ese y voy a enviarlo, el que lo va a recibir en este caso va a ser el CEO ceo@estafadelceo.es. Ahí podría añadir al responsable económico, podría añadir a un montón de más ¿no? Directivo 1, directivo 2, directivo 3… como si realmente hubieran recibido.
Incluso se puede llegar a entre dominios que están dentro del mismo servidor de correo, imaginaros dominio 1 y dominio 2, podrían enviar correos entre ellos. Es decir, yo estoy falseando lo que es el correo.
Al final va a recibir un correo haciéndome pasar por eduardo@estafadelceo.es mientras que ese correo directamente no existe dentro del dominio. Ahí ya veis la prueba como yo no estoy metiendo ningún tipo de credencial y estoy haciendo la prueba y le va a entrar al buzón de correo en este caso del CEO o de quien me diera la gana dentro de la empresa siempre que el correo exista.
Otra cosa muy importante es que le puedo colar el correo en la fecha que yo quiera, es decir, típicos correos, se puede dar el caso en que yo mande un correo electrónico a una empresa, los típicos correos que decimos ‘hoy no lo voy a gestionar, lo dejo sin leer para mañana‘. Podemos meter un correo meses antes de tal forma que cuando busque ‘oye este correo me lo dejé yo aquí sin verlo‘. Podemos cambiar la fecha incluso meterlo en mitad de la bandeja de entrada ese correo electrónico para que le de más credibilidad, ya depende del tipo de ataque.
Bueno pues vais a ver aquí como se me ha metido un correo justo antes, el día 28 y me llega un correo de eduardo@estafadelceo.es y aparecen diferentes directivos que realmente esos directivos no existen, el destinatario es el CEO y bueno me permite llevar a cabo una estafa técnicamente mucho más limpia. Todo eso viene al final por un fallo de seguridad.
Aquí tenéis los resultados hechos, el análisis, la investigación en los dos millones cuando hicimos la investigación. Pues bueno, dos millones de dominios .es, al final determinamos que el 62% de los dominios .es eran vulnerables. Un 62% de dominios vulnerables por el mero hecho de no tener bien configuradas pues las políticas de seguridad SPF, DKIM, DMARC, son políticas de seguridad dentro de lo que son los servicios de correo.
Pues nosotros, si alguno queréis de manera gratuita que se os testee vuestro dominio como decía antes en estafadelceo.es podéis mandar un correo electrónico y nosotros hacemos una prueba no intrusiva, es decir, no vamos a llegaros a enviar el correo salvo que os pongáis en contacto con nosotros ‘oye realmente quiero testearlo, quiero que pruebes a ver si se me cuela el correo electrónico con las medidas que tenemos‘ de forma que se pueda ver si técnicamente se puede llevar un ataque de estafa del CEO tan limpio como el que os he enseñado.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!