Los que trabajan en seguridad, tienen la culpa: viven diciendo que los sitios HTTPS son seguros, lo cual es una falacia y sólo ayuda a confundir a los usuarios.
Este es el caso de un correo falso de Mastercard con el asunto “Comunicado Importante” que comenzó propagarse durante esta semana y tenía un enlace a un sitio HTTPS:
Como puede verse en la imagen, el correo dice provenir de MasterConsultas [mcalertas mcalertas.com.ar], lo cual por supuesto es falso y se trata de un spoofing (falsificación) de correo electrónico. En este correo se hace referencia a un supuesto premio que funciona como anzuelo para que usuarios desprevenidos (o demasiado ilusionados) hagan clic. El correo es el siguiente (errores ortográficos incluidos):
Nos complace comunicarle que ha sido ganador del sorteo MC1005487, este es llevado a cabo para todos los clientes que nos brindan su confianza dia a dia.
Le pedimos que valide su identificacion manualmente accediendo a nuestro sitema seguro:
enlace HTTPS
Como si fuera poco, el correo masivo (spamming) fue realizado desde el SMTP de la plataforma SendGrid provista por la empresa Dattaweb/Hostmar desde un servidor configurado incorrectamente: tak[ELIMINADO].com.ar (bar[ELIMINADO]-dr.dattaweb.com [200.58.99.XXX].
En la cabecera del correo también puede verse claramente la falsificación a nombre de mcalertas.com.ar.
¿Por qué un sitio HTTPS también puede ser inseguro?
Que un sitio sea HTTPS simplemente “garantiza” que la comunicación entre el cliente y el servidor viaja cifrada pero nada dice sobre la autenticidad del sitio. En resumidas cuentas, que un sitio sea https://banco-seguro.com no significa que la entidad “banco-seguro” siquiera exista o que sea una organización de confianza. Puede ser el sitio de un delincuente y nosotros iríamos a depositar nuestro dinero en él simplemente porque su nombre “sugiere” que es seguro.
Justamente este es el caso del correo recibido. El pasado 19 de abril, un delincuente registro el dominio 1masterconsull.com (ya dado de baja) en en proveedor Hostgator y luego procedió a obtener un certificado digital con la entidad registrante Comodo CA.
Supuestamente las CAs deberían encargarse de verificar que el dominio “1masterconsull” sea real y que no pertenezca a una entidad fraudulenta. Obviamente no hacen su trabajo como corresponde y por eso la infraestructura de entidades certificantes cada día está mas devaluada, facilitando este tipo de fraudes.
Resumiendo, el delincuente con dos simples pasos pudo montar (seguramente gratis) un sitio web falso de Mastercard y enviar decenas de miles de correos a potenciales víctimas.
Cuando el desprevenido usuario recibe el correo y verifica que el dominio comienza con HTTPS (vuelvo a repetir que eso no significa nada), realmente comienza a creer que ganó un premio (nada es gratis en Internet) y hace clic en el enlace.
En ese momento ingresa al sitio falso y completa sus datos personales y/o financieros, los cuales finalmente son enviados al delincuente. Este utilizará los datos robados para realizar una suplantación de identidad de la víctima y utilizará la tarjeta de crédito para realizar compras en tiendas en línea y en el exterior.
Cabe remarcar que este sitio estuvo activo 10 días sin que los navegadores, los antispam, las tarjetas de crédito, la empresa de hosting (Hostgator) ni la entidad certificante (Comodo) lo detecten.
Por eso el Phishing funciona, porque las técnicas de detección son anticuadas, el modelo de las CA está caduco, las empresas registrantes no hacen su trabajo y nuestras técnicas de concientización del usuario atrasan 10 años.
Nota final: el delincuente probablemente registro otros sitios similares y ahora que sabe que la técnica del HTTPS funciona, pronto los comenzará a utilizar en otras campañas de phishing.
Fuente: Segu-Info