CONTACTO

🥷🏼Cómo una mala configuración de tu WordPress puede acabar con tu reputación

Te presentamos un caso real de una mala configuración de un WordPress que nos llega a través de una suplantación de identidad o phishing.

En este ejemplo de phishing se especifica que se tiene una deuda con Vodafone y se debe abonar una cantidad determinada. Por suerte, estos correos, no dirigidos, suelen caer a la carpeta de SPAM gracias a la configuración correcta del servidor y a determinados filtros.

Figura 1. Ejemplo real de intento de suplantación de identidad. En este caso, haciéndose pasar por Vodafone y reclamando una deuda.

Qué es el phishing

Mediante el envío de un correo aparentemente real, la suplantación de identidad o phishing, es el intento por parte de un ciberdelincuente, de robarnos las credenciales/información o instalarnos malware en nuestro dispositivo.

Se usan técnicas de engaño tales como:

  • Copiar con exactitud la web de un producto o servicio.
  • Envío de correos con logotipos idénticos al servicio real.
  • Intento de suplantar cabeceras de servidores de correo para emular el envío desde la dirección de la compañía.

El phishing es el vector de ataque preferido por los delincuentes debido a que tiene un alto porcentaje de éxito.

Si se utiliza de una manera dirigida, se denomina spear phishing.

En el spear phishing, al ser phishing dirigido explícitamente contra un objetivo, se utilizan técnicas avanzadas de OSINT y se estudia de manera exhaustiva al objetivo y a su entorno.

Un engaño muy frecuente, que combina técnicas de spear phishing con malas configuraciones de correo,  es el conocido como Timo del CEO o Estafa del CEO.

El engaño es muy simple:

  • Delincuente envía correo haciéndose pasar por entidad X a víctima.
  • Víctima abre el correo e intenta solventar el problema que supuestamente tiene con X.
  • Víctima introduce credenciales en un panel falso que es idéntico al del portal de clientes de X.
  • Criminal obtiene credenciales de víctima y empieza a operar con sus credenciales.

Cómo podemos evitar que nos engañen

  • Desconfía de cualquier correo no solicitado o extraño. Incluso aunque sea de alguno de tus contactos.
  • Revisa siempre la dirección completa del remitente. No es lo mismo «@dominioREAL.com» que «@vodafone-clientes.dominioFALSO.com «
  • Nunca pinches sobre los enlaces de esos correos.
  • Nunca abras los adjuntos de los correos que te generen desconfianza.
  • Deshabilita la opción en tu gestor de correo de carga de contenido remoto. Si lo tienes activado, el delincuente sabe cuando has abierto su mail, desde dónde, con qué cliente de correo, dirección IP…
  • Si dudas, verifica poniéndote encima del enlace del correo (sin pinchar) que la dirección que aparece en el enlace es realmente la del enlace real.
  • Los correos falsos suelen contener faltas de ortografía. Si te fijas en la figura 1, no se ha puesto ni una sola tilde y no hay «eñe» en España.
  • Nunca entres en los enlaces que te envían desde los correos sospechosos. Ante la duda, introduce a mano en tu navegador la dirección del servicio o ponte en contacto con atención al cliente.

Analizando el caso desde el punto de vista de WordPress

Vamos a analizar el caso no desde el punto de vista del phising sino sobre quién envía este correo y cómo lo hace.

Analizando las cabeceras del mensaje, observamos que se ha enviado desde un servidor en Brasil, como se observa en la figura 2.

Figura 2. Cabeceras del intento de suplantación de identidad.

¿Qué observas cuando ves esta imagen? ¿Te suenan esos directorios que aparecen en X-PHPScript y X-Source-Args?

Estamos ante una instalación de WordPress que ha sido atacada con éxito. Si observas con atención, el directorio al que se ha accedido de manera fraudulenta es /wp-admin. En este directorio se ha instalado un script en php que es el que se encarga de usar el mailer del servidor para realizar los envios. wp-admin/sd.php

Si hacemos una pequeña búsqueda en google, observamos que el mail desde el que se envía el correo falso, tiene sus directorios expuestos.

Figura 3. Wordpress con directorios expuestos

Ahora piensa en una cosa. Imagina por un instante que el propietario de ese negocio de Brasil fueras tú.

¿Qué cara se te habría quedado al saber que la web de tu negocio lleva meses enviando correos de SPAM?

¿Cómo afrontarías este problema si te pasase a ti? ¿Qué harías o a quién llamarías?

Normalmente, hacer balance de daños sería lo primero que haríamos. Comprobar el alcance de los daños con una investigación exhaustiva y comprobar que no ha habido daños mayores como robo de información o filtración de datos.

Una de las peores cosas que te puede pasar es que tu dominio entre en una lista negra y los mismos navegadores lo marquen como peligroso.

Al acceder a tu página, los visitantes verían algo similar a los que aparece en la figura 4.

Figura 4. Dominio bloqueado por navegador. Marcado como peligroso

Conclusiones

  • La seguridad de una web es crucial para mantener la reputación de tu negocio. Consulta nuestro checklist de seguridad para WordPress.
  • A los delincuentes les basta solo un pequeño fallo que sea explotable para instalar sus herramientas.
  • Una instalación de WordPress es todo lo segura que tú quieras que sea.
  • Si mantienes webs, es fundamental que leas o te especialices en el mundo de la ciberseguridad.
  • Cada vez más, las empresas consideran que invertir en seguridad no es un gasto innecesario sino un valor añadido.
  • La seguridad al 100% es imposible, pero siempre es mejor poner trabas a los atacantes y tener un plan de acción en caso de problemas.
  • Los hackers no son delincuentes. Los delincuentes son delincuentes.

Si te pierdes o necesitas ayuda para tu actividad profesional, no dudes en contactarnos. Te ayudaremos encantados.

¿Conoces de cerca algún caso similar?¿Has tenido alguna vez un caso parecido? ¿Conoces alguna medida extra para prevenir esto?

Si te ha gustado está publicación, no te olvides de compartirla en tus redes. Si no te ha gustado, puedes poner una reclamación aquí.

Archivado en:

CiberSeguridad
Cómo prevenir el phishing, Qué es el phishing

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

Contenido similar que podría interesarte:

Navegar por temas

Etiquetas

Cómo hacer wordpress seguro Cómo prevenir el phishing Cómo usar Wordpress Estrategia de contenidos en las empresas Estrategia de contenidos objetivos Evento en linea Fuga de información Mantener wordpress seguro Mantenimiento web Mantenimiento WordPress Plugin de membresía producción audiovisual Qué es el phishing Wordpress cómo empezar
Usamos cookies. No sigas navegando hasta leer y aceptar nuestra política de privacidad y cookies 🍪 ¿Te lo has leído ya? 🏛Política de Privacidad