Hace poco nos topamos con un interesante – desde el punto de vista técnico – método de obtener información personal. A uno de nuestros clientes le llegó un mensaje electrónico en el que le decían que alguien había utilizado su Live ID para enviar spam, y que por este motivo se procedería a bloquear su cuenta. Para evitar el bloqueo, le proponían seguir un enlace y cumplir las nuevas exigencias de seguridad del servicio.
Todo esto suena como la descripción de un típico mensaje phishing. Más adelante la víctima tendría que seguir un enlace, llegar a una página falsificada idéntica a la página oficial del servicio Windows Live, ingresar allí sus datos, que después serían enviados a los estafadores, etc. Pero para nuestra sorpresa, el enlace del mensaje fraudulento de verdad llevaba al sitio de Windows Live y los delincuentes no estaban tratando de apoderarse del login o contraseña de la víctima. Ellos estaban actuando de una forma mucho más astuta.
El esquema fraudulento
¿Cuál es el peligro que representa seguir el enlace enviado, si de verdad lleva al sitio oficial de Microsoft?
Mensaje fraudulento
Lo que pasa es que la cuenta de Live ID también puede utilizarse para autorizarse en otros servicios: Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger, OneDrive, etc. Como resultado del ataque, el delincuente no sólo obtiene acceso directo a estos servicios en nombre de la víctima, sino que también puede robar la información personal contenida en los perfiles de los usuarios de estos servicios y usarlos para fines fraudulentos.
Al seguir el enlace del mensaje, llegamos al servicio oficial live.com, donde nos piden que nos autoricemos ingresando nuestro login y contraseña.
Una vez pasada la autorización, el login y la contraseña no caen en manos de los delincuentes, como se podría suponer (y como suele suceder), sino que realmente nos autorizamos en live.com. Pero después de esto, el servicio nos hace una solicitud interesante:
Cierta aplicación pide permiso de ingreso automático, acceso a los datos del perfil y la lista de contactos, como también acceso a las direcciones de correo electrónico. Al pulsar “Sí”, le concedemos estos derechos y, en esencia, les enviamos a sus creadores nuestros datos personales, las direcciones de correo de nuestros contactos, los apodos y nombres de nuestros amigos, etc. En vista de que en este caso no sabemos nada ni sobre la aplicación, ni sobre sus autores, podemos suponer que los datos recolectados de esta manera serán utilizados para fines fraudulentos. Y una vez más queremos recalcar que el login y la contraseña siguen siendo confidenciales.
¿Cómo funciona todo esto?
Desde el punto de vista técnico, todo es muy sencillo. Existe un protocolo especial abierto de autorización llamado OAuth, que permite dar a terceros acceso limitado a los recursos privados del usuario sin darle su login y contraseña. Con frecuencia, los creadores de aplicaciones web usan este protocolo en las redes sociales, si sus aplicaciones requieren ciertos datos para funcionar, por ejemplo, la lista de contactos. Para los usuarios la comodidad consiste en que ellos ya están autorizados en el servicio y no tienen que ingresar su login y contraseña cada vez para otorgarle permisos a la aplicación.
Hace ya bastante tiempo que se sabe de las brechas de seguridad del protocolo OAuth: a principios de 2014 un estudiante de Singapur describió los posibles métodos de robo de información de los usuarios una vez pasada la autorización. Pero hasta ahora no habíamos detectado mensajes de phishing en los que los delincuentes hubiesen tratado de aplicar estos métodos en la práctica.
En el caso que nos ocupa, cuando el usuario pulsa el enlace del mensaje fraudulento: hxxps://login.live.com/oauth20_authorize.srf?client_id=00xxx4142735&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code&redirect_uri=hxxp://webmail.code4life.me/hot/oauth-hotmail.php
llega a la página de autorización, donde se le pide su confirmación para otorgar los derechos codificados en los parámetros de la aplicación. Si el usuario da su consentimiento, se lo remite a una página especial (hxxp://webmail.code4life.me/hot/oauth-hotmail.php), en cuyo URL después del parámetro “code” se agrega “access token” (hxxp://webmail.code4life.me/hot/oauth-hotmail.php?code=36cef237-b8f6-9cae-c8e4-ad92677ba), que la aplicación intercepta directamente desde el campo de direcciones. Más adelante la aplicación usa este “access token” para acceder a los recursos protegidos. A grandes rasgos, las posibilidades de OAuth no se limitan a sólo la autentificación y la autorización. Habiendo recibido el token durante la autorización, se lo puede usar para integrar las posibilidades del servicio web o la red social en sus propios recursos: lectura, escritura de posts, acceso a las noticias y muros de los amigos, y mucho más.
Contenido del enlace
Si miramos con atención al enlace enviado, podemos notar los parámetros wl.signin, wl.basic, wl.emails y wl.contacts_emails. Es precisamente en ellos que están codificados los niveles de los permisos que la aplicación solicita al usuario:
- wl.signin es un registro único, gracias al cual los usuarios que ya entraron a Windows Live se registran automáticamente en cualquier sitio web que admita este tipo de autorización;
- wl.basic da acceso a la lectura de los datos principales del perfil del usuario, como su sobrenombre, nombre, apellido, sexo, edad, país donde se encuentra, y la lista de sus contactos;
- wl.emails da acceso a la lectura de direcciones de correo electrónico personales, preferidos y de servicio del usuario;
- wl.contacts_emails abre el acceso a las direcciones electrónicas de todos los contactos del usuario.
También existe una enorme cantidad de otros parámetros que dan permiso para, por ejemplo, obtener las fotografías del usuario y sus contactos, datos sobre sus cumpleaños, lista de encuentros y de sucesos importantes. De hecho, usando esta información el delincuente puede crear un retrato de la persona, entender a qué se dedica, cuándo no está en casa, quienes son sus amigos y con quién sale, y usar estos datos para fines criminales.
Durante búsquedas adicionales logramos encontrar otros mensajes phishing similares que contenían enlaces al servicio oficial de Microsoft. En todos los casos los delincuentes solicitaban a la víctima la misma información (datos del perfil, direcciones de correo electrónico, contactos) y sólo eran diferentes las direcciones de las páginas especiales donde se encontraba la aplicación fraudulenta.
hxxps://login.live.com/oauth20_authorize.srf?client_id=000000004C1xxx06&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code&redirect_uri=http://soluciones-ntflix.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=000000004C1xxx3C&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code&redirect_uri=http://registros-promos.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=00000000441xxx1B&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code&redirect_uri=http://applications-registro.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=00000000441xxx17&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code&redirect_uri=http://estimaciones-serv.com/web/oauth-hotmail.php
Merece la pena destacar que algunas aplicaciones para redes sociales también usan el protocolo OAuth.
Ejemplo de concesión de derechos a una aplicación en Facebook
Una aplicación creada por los delincuentes puede pedir a la víctima permiso para hacer publicaciones y poner fotografías en el muro, leer y enviar mensajes personales y agregar notas en los libros de invitados. Estas posibilidades pueden usarse para propagar spam y enlaces a sitios phishing o maliciosos.
Conclusión
En el caso que hemos analizado, lo más probable es que la información se recopile para propagar spam usando la libreta de direcciones de la víctima o para realizar ataques mediante el spam selectivo (spear phishing).
Para no convertirse en víctima de los astutos estafadores, no hay que seguir los enlaces recibidos por correo o mensajes personales en las redes sociales. Pero lo más importante es no dar derechos de acceso a los datos personales a aplicaciones desconocidas en las que no confías. Antes de dar tu consentimiento, tienes que leer atentamente la descripción de derechos de acceso a la cuenta que recibirá la aplicación y calcular el nivel de peligrosidad de la amenaza. Puedes buscar en Internet información y comentarios sobre la aplicación y los derechos que solicita. Además, en cualquier red social o servicio web se puede ingresar a la configuración de la cuenta o perfil y ver qué derechos tienen las aplicaciones instaladas, y si es necesario, reducir su cantidad.
Ejemplo de derechos en Google
Si te enteras que la aplicación ya propaga spam o enlaces maliciosos en tu nombre, puedes enviar una queja a la dirección de la red social o del servicio web para que la bloqueen. Y si necesitas autorizarte en algún servicio o red social, es mejor ingresar directamente al sitio web escribiendo su dirección en el navegador. Y, por supuesto, verificar que las bases de tu antivirus y tecnologías de defensa contra el phishing estén actualizadas.
Los estafadores también pueden tener derechos