Cabecera-v2-web.jpg

Phishing sobre HTTPS con certificado válido


Más de uno conocerá las tí­picas recomendaciones para evitar ser ví­ctimas de phishing: evitar entrar a enlaces sospechosos, fijarse en la URL en la barra de direcciones, fijarse que la misma esté sobre HTTPs y que tenga un candado verde, etc. Sin embargo, es imposible que un dominio de phishing tenga el candado verde?

Para empezar, qué significa realmente este candado verde? Es un indicador de los navegadores que nos indica que la conexión está cifrada con HTTPs y que el certificado es válido y que fue emitido por una autoridad certificadora de confianza. Anteriormente, esta validación se hací­a mediante un proceso semi-manual, no automatizado, donde un ser humano verifica la solicitud de una persona o empresa que solicita el certificado. Por lo tanto, era bastante difí­cil para un ciberdelincuente conseguir un certificado válido para su dominio malicioso.

Por supuesto, este proceso tiene sus desventajas: es relativamente lento y tiene un costo. Desde hace relativamente poco tenemos iniciativas, como Let's Encrypt, que automatizan este proceso, y sin ningún costo, nos emiten un certificado válido y seguro, de modo a que nuestro sitio web pueda estar sobre HTTPs. Todos los navegadores reconocen este certificado y lo indican con un candado verde.

Los cibercriminales no tardaron de ver una oportunidad en esto: por qué no utilizar estos certificados con los dominios de phishing? De esta manera, es más probable que una ví­ctima poco atenta pueda caer en el engaño.

El dí­a de ayer nos hemos encontrado con una campaña de distribución de correos falsos, supuestamente de Apple, en el que nos agradecen por la compra de una aplicación y nos adjuntan un archivo pdf con los detalles de la supuesta compra. Por supuesto, se trata de una compra que nunca hicimos.

img3.png


Aparentemente el pdf no es malicioso, ningún antivirus lo detectará porque, efectivamente, no se trata de un troyano ni otro tipo de malware. Sin embargo, en el pdf se encuentra un enlace, y nos indica que, si deseamos cancelar la compra, debemos ingresar a dicho enlace. Una ví­ctima desprevenida, preocupada por la supuesta compra que no realizó, ingresará en el enlace para cancelarla cuanto antes.

Al ingresar al enlace nos abre una página web, idéntica a la de la tienda de Apple. En esta página nos piden ingresar nuestro AppleID y nuestra contraseña. Si nos fijamos con atención en la dirección, vemos que, si bien es diferente a la de inicio de sesión de Apple (https://appleid.apple.com) es muy similar.


img1.png


Una ví­ctima que no sea muy detallista podrá verificar la dirección y el candado verde, y de esta manera, creer que se trata de la página real de Apple. Cuando complete sus datos, éstos no serán enviados a Apple, sino al ciberdelincuente, quien de esta manera podrá acceder a la cuenta de la ví­ctima. En este caso, los ciberdelincuentes tratan de obtener no solamente la contraseña de la ví­ctima, sino también información sobre la tarjeta de crédito, información personal, código de verificación, entre otros, pudiendo comprometer completamente la cuenta de Apple y la cuenta bancaria de la ví­ctima.

Ahora bien, el phishing no es una técnica nueva. Casos similares ocurren a diario. Así­ que, qué es lo novedoso de este caso? La diferencia está en el candado verde y el https:// con el que empieza la URL, lo cual le da a la ví­ctima una falsa sensación de seguridad, haciendo parecer que se trata de un sitio confiable y seguro.

Si revisamos con detenimiento los detalles del certificado, vemos que es un certificado válido, emitido para el dominio malicioso, por Let's Encrypt.



No es que el certificado esté comprometido, sino que el proceso de validación automatizado de Let's Encrypt no tiene forma de verificar la confiabilidad de la persona o empresa que solicita el certificado, ni mucho menos de verificar el contenido de la página web que aloja.

Probablemente no sea el primer caso ni será el último: hoy en dí­a, cualquier ciberdelincuente puede conseguir que su dominio malicioso cuente con un certificado válido y que el navegador muestre un candado verde, lo que hace que para una ví­ctima será más difí­cil distinguir un sitios maliciosos de phishing de uno legí­timo.

Así­ que, la próxima vez que entres a un sitio, no te fí­es del candado verde. Verifica con mucho cuidado la dirección, y en caso de duda, directamente no ingreses tus datos y contacta con la empresa responsable de la plataforma. Siempre puedes reportar estos enlaces al CERT-PY.



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11