Te presentamos un caso real de una mala configuración de un WordPress que nos llega a través de una suplantación de identidad o phishing.
En este ejemplo de phishing se especifica que se tiene una deuda con Vodafone y se debe abonar una cantidad determinada. Por suerte, estos correos, no dirigidos, suelen caer a la carpeta de SPAM gracias a la configuración correcta del servidor y a determinados filtros.
Figura 1. Ejemplo real de intento de suplantación de identidad. En este caso, haciéndose pasar por Vodafone y reclamando una deuda.
Qué es el phishing
Mediante el envío de un correo aparentemente real, la suplantación de identidad o phishing, es el intento por parte de un ciberdelincuente, de robarnos las credenciales/información o instalarnos malware en nuestro dispositivo.
Se usan técnicas de engaño tales como:
- Copiar con exactitud la web de un producto o servicio.
- Envío de correos con logotipos idénticos al servicio real.
- Intento de suplantar cabeceras de servidores de correo para emular el envío desde la dirección de la compañía.
El phishing es el vector de ataque preferido por los delincuentes debido a que tiene un alto porcentaje de éxito.
Si se utiliza de una manera dirigida, se denomina spear phishing.
En el spear phishing, al ser phishing dirigido explícitamente contra un objetivo, se utilizan técnicas avanzadas de OSINT y se estudia de manera exhaustiva al objetivo y a su entorno.
Un engaño muy frecuente, que combina técnicas de spear phishing con malas configuraciones de correo, es el conocido como Timo del CEO o Estafa del CEO.
El engaño es muy simple:
- Delincuente envía correo haciéndose pasar por entidad X a víctima.
- Víctima abre el correo e intenta solventar el problema que supuestamente tiene con X.
- Víctima introduce credenciales en un panel falso que es idéntico al del portal de clientes de X.
- Criminal obtiene credenciales de víctima y empieza a operar con sus credenciales.
Cómo podemos evitar que nos engañen
- Desconfía de cualquier correo no solicitado o extraño. Incluso aunque sea de alguno de tus contactos.
- Revisa siempre la dirección completa del remitente. No es lo mismo «@dominioREAL.com» que «@vodafone-clientes.dominioFALSO.com «
- Nunca pinches sobre los enlaces de esos correos.
- Nunca abras los adjuntos de los correos que te generen desconfianza.
- Deshabilita la opción en tu gestor de correo de carga de contenido remoto. Si lo tienes activado, el delincuente sabe cuando has abierto su mail, desde dónde, con qué cliente de correo, dirección IP…
- Si dudas, verifica poniéndote encima del enlace del correo (sin pinchar) que la dirección que aparece en el enlace es realmente la del enlace real.
- Los correos falsos suelen contener faltas de ortografía. Si te fijas en la figura 1, no se ha puesto ni una sola tilde y no hay «eñe» en España.
- Nunca entres en los enlaces que te envían desde los correos sospechosos. Ante la duda, introduce a mano en tu navegador la dirección del servicio o ponte en contacto con atención al cliente.
Analizando el caso desde el punto de vista de WordPress
Vamos a analizar el caso no desde el punto de vista del phising sino sobre quién envía este correo y cómo lo hace.
Analizando las cabeceras del mensaje, observamos que se ha enviado desde un servidor en Brasil, como se observa en la figura 2.
Figura 2. Cabeceras del intento de suplantación de identidad.
¿Qué observas cuando ves esta imagen? ¿Te suenan esos directorios que aparecen en X-PHPScript y X-Source-Args?
Estamos ante una instalación de WordPress que ha sido atacada con éxito. Si observas con atención, el directorio al que se ha accedido de manera fraudulenta es /wp-admin. En este directorio se ha instalado un script en php que es el que se encarga de usar el mailer del servidor para realizar los envios. wp-admin/sd.php
Si hacemos una pequeña búsqueda en google, observamos que el mail desde el que se envía el correo falso, tiene sus directorios expuestos.
Figura 3. Wordpress con directorios expuestos
Ahora piensa en una cosa. Imagina por un instante que el propietario de ese negocio de Brasil fueras tú.
¿Qué cara se te habría quedado al saber que la web de tu negocio lleva meses enviando correos de SPAM?
¿Cómo afrontarías este problema si te pasase a ti? ¿Qué harías o a quién llamarías?
Normalmente, hacer balance de daños sería lo primero que haríamos. Comprobar el alcance de los daños con una investigación exhaustiva y comprobar que no ha habido daños mayores como robo de información o filtración de datos.
Una de las peores cosas que te puede pasar es que tu dominio entre en una lista negra y los mismos navegadores lo marquen como peligroso.
Al acceder a tu página, los visitantes verían algo similar a los que aparece en la figura 4.
Figura 4. Dominio bloqueado por navegador. Marcado como peligroso
Conclusiones
- La seguridad de una web es crucial para mantener la reputación de tu negocio. Consulta nuestro checklist de seguridad para WordPress.
- A los delincuentes les basta solo un pequeño fallo que sea explotable para instalar sus herramientas.
- Una instalación de WordPress es todo lo segura que tú quieras que sea.
- Si mantienes webs, es fundamental que leas o te especialices en el mundo de la ciberseguridad.
- Cada vez más, las empresas consideran que invertir en seguridad no es un gasto innecesario sino un valor añadido.
- La seguridad al 100% es imposible, pero siempre es mejor poner trabas a los atacantes y tener un plan de acción en caso de problemas.
- Los hackers no son delincuentes. Los delincuentes son delincuentes.
Si te pierdes o necesitas ayuda para tu actividad profesional, no dudes en contactarnos. Te ayudaremos encantados.
¿Conoces de cerca algún caso similar?¿Has tenido alguna vez un caso parecido? ¿Conoces alguna medida extra para prevenir esto?