Phishing en un sitio Web comprometido

A raíz de una consulta de un alumno del curso de Hacking Ético, decidí investigar acerca de un enlace que había recibido de un amigo suyo, que éste no había enviado. Me comentaba que se trataba de un enlace falso que al parecer robaba las credenciales de algunos servicios de correo como Gmail. Obviamente, a nosotros en hacking-etico.com todo lo que sea investigar este tipo de delitos nos encanta, y si puede servir para ayudar y concienciar, mejor.

En primer lugar utilicé servicios online para analizar URL y verificar si se trata de una URL maliciosa o no, y en caso de que lo sea, por qué y qué motores de análisis lo detectan como tal. He usado virustotal.com obteniendo el siguiente resultado.

Phishing en un sitio Web comprometidoPara evitar problemas de confidencialidad y reputación, hemos preferido ocultar los datos del sitio Web. Además desde el equipo de hacking-etico.com nos pondremos en contacto con los responsables del sitio advirtiéndoles de que están siendo víctimas y su sitio está siendo usado para realizar phishing. Sí se puede observar que se trata de un dominio .com.ve, de Venezuela.

Como podéis observar dos motores, de los más importantes, nos indican que se trata de un sitio Web malicioso. Incluso Fortinet va más allá y lo cataloga como un sitio de phishing. Mini-punto para Fortinet.

Para tener una segunda opinión, recurrimos a otro servicio online muy interesante para estos caso, urlquery.net y que nos muestra la siguiente información.

Phishing en un sitio Web comprometidoEn esta captura, podemos ver que urlquery.net no ha detectado nada a nivel de IDS (Intrusion Detection Systems) porque en realidad no se ejecuta ningún código malicioso al visitar la URL. En la URL podemos encontrar un formulario, de phishing obviamente, que intenta engañar a la víctima haciéndole creer que hay un documento pendiente de visualizar en Google Drive y que para poder verlo necesita introducir sus credenciales, por ejemplo, de Gmail. Parece demasiado obvio y sencillo, y difícil de que los usuarios «piquen«, pero creedme, por desgracia son muchos los acaban cayendo en la trampa.

Phishing en un sitio Web comprometidoEn la imagen anterior podéis ver la página de phishing, con el formulario falso preparado para capturar las credenciales de la víctima y almacenarlas en algún fichero o enviarlas a algún servidor de base de datos.

Para terminar la investigación, teníamos la curiosidad de saber si se trata de un sitio Web preparado sólo para phishing, o es un sitio Web legítimo que ha sido víctima de una intrusión y que posiblemente sin saberlo, está alojando una página de phishing.

Hicimos un ping para saber cuál es la dirección IP del servidor Web y a continuación con Bing saber si es un servidor Web dedicado para phishing o un servidor Web compartido, usado habitualmente para sitios Web legítimos. Para ello hemos usado el operado «ip» en Bing.

Phishing en un sitio Web comprometido

Phishing en un sitio Web comprometido

Comprobamos que había casi 9.000 resultados de otras páginas Web en ese mismo servidor. Accedimos al raíz del dominio que estamos investigando y pudimos comprobar que se trata de una página Web legítima relacionada con educación, que ha sido víctima de una intrusión y está alojando una Web de phishing.

Tal y como hemos comentado antes, desde hacking-etico.com nos pondremos en contacto en breve con los responsables para comunicarles esta incidencia.

Como siempre, espero que haya sido de vuestro agrado y al alumno, AHG, haberle resuelto la duda 😉

¡Hasta la próxima!