Historias reales: ¡Mi página web está suplantando a una entidad bancaria!

Publicado el 27/05/2015, por INCIBE
Historia real

Andrés es el propietario de una empresa de asesoría fiscal y laboral. Desde que el año pasado puso en marcha todo sus servicios online, el ahorro en gestión y el aumento de la cartera de clientes han dado un gran impulso a su empresa.

Como cada lunes, Andrés revisa todas las peticiones que ha recibido de sus clientes durante el fin de semana. Extrañamente no ha habido muchas peticiones. Al poco tiempo recibe una llamada de su empresa proveedora de servicios de alojamiento de su portal web Hosting S.A.: su página web ha sufrido un ataque de phishing suplantando la web de un conocido banco. La página web ha permanecido modificada todo el fin de semana y, para colmo, ha recibido bastantes visitas en ese tiempo.

Con el teléfono en la mano, Andrés accede al portal, y ve con cara de asombro el phishing que han «colgado» en su portal web.

Phishing

Aspecto que presenta la página web de Andres

En la empresa de Andrés sólo uno de los empleados añade ficheros a la web cada cierto tiempo y las modificaciones de aspecto y contenidos se tienen contratados con esta empresa de hosting por lo que el enfado de Andrés es mayúsculo.

Del otro lado de la línea, el proveedor le informa a Andrés de lo que es un phishing. Además le informa que harán una copia del portal web, retirarán el phishing e investigarán lo ocurrido ya que aún no sabe las causas del incidente, pero que le llamarán cuando tengan más información.

Un rato después, Andrés recibe una llamada:

- ¿Andrés?

- Si

- Soy José Luis de Hosting S.A. Hemos estado investigando el incidente que te comentaba esta mañana. Aparte de este phishing, hemos encontrado otras 2 carpetas con todos los elementos listos para utilizar para hacer otro phishing a otras dos entidades financieras. Aparentemente las modificaciones en la web se realizaron usando uno de vuestros usuarios, en concreto el usuario ‚emprandr’ y accedieron con la contraseña legítima. ¡Se sabían la contraseña!

- ¿Cómo?

- Si. Como lo oyes. Esto ocurrió el viernes hacia las 21:37

- ¿Sabes si algún empleado descontento que supiera estas contraseñas ha dejado últimamente la empresa? Es un caso muy típico.

- No. Últimamente nadie ha dejado la empresa y los que están aquí conmigo son de confianza.

- Pues entonces es que os han entrado en los equipos y de alguna forma han obtenido las contraseñas de acceso a nuestro servicio.

- Ok, pues investigaremos internamente y te voy informando.

- …

Al preguntar a sus empleados, nadie sabe nada. Pero varios de ellos le comentan que almacenan las contraseñas en ficheros de texto en sus escritorios. Decide comprobar si todos los antivirus están actualizados y pide revisar los equipos de los empleados. Para su sorpresa varios de ellos están infectados. Decide llamar a su empresa de hosting:

- Hola José Luis. Parece que tenías razón, varios de los equipos estaban infectados con virus.

- Probablemente se tratara de un troyano y estaban siendo controlados por algún ciberdelincuente de forma remota.

- OK. ¿Qué hay de la web?

- Ya la hemos limpiado. Y hemos almacenado los registros de acceso y una copia de la web fraudulenta.

- Es verdad, que me lo comentaste antes, pero ¿y eso? ¿Para qué?

- En caso de que haya algún tipo de denuncia (Ojalá que no), es posible que nos soliciten los registros de acceso para conocer las IPs de los atacantes. También les interesará conocer toda la información posible. Te recomiendo que guardéis toda la información que podáis sobre el troyano que ha infectado vuestros equipos y almacenéis los registros de vuestros servidores internos por si os piden información del incidente.

Una vez hicieron las primeras investigaciones con ayuda de profesionales de ciberseguridad, descubrieron que un servidor interno de base de datos con conectividad a Internet era vulnerable y había sido comprometido por un ciberdelincuente. De forma remota había sido capaz de acceder al servidor y de ahí a los equipos de los empleados, infectándolos con un troyano y obteniendo así la contraseña del usuario emprandr para acceder a la web.

¿Qué es lo que ha ocurrido?

Un phishing es un ataque de suplantación que permite al atacante recolectar información confidencial de los usuarios víctima. En este caso, la víctima no es solo la empresa de Andrés. También lo son el banco pero sobre todo las víctimas finales son las personas que han sido engañadas para visitar la web alojada por la empresa, pensando que es la del banco legítimo, donde aportarán inadvertidamente su usuario y contraseña para acceder a su banca online. Una vez que haya facilitado sus datos en la web falsa, los visitantes serán redirigidos automáticamente hacia la página legítima del banco, mientras que sus credenciales serán robadas por el ciberdelincuente para utilizarlas para suplantar a las víctimas en su banco o para venderlas en el mercado negro.

En este caso la web de la empresa de Andrés es el medio que permite al ciberdelincuente realizar el ataque pero también le supone un grave perjuicio en forma de pérdida de imagen y reducción de ventas. Seguramente a partir de ahora sus clientes se fiarán menos a la hora de hacer uso de los servicios de su página web.

De esta manera las víctimas habían visitado por error la web bancaria fraudulenta y algunas de ellas habían dejado almacenadas sus credenciales en un fichero del servidor.

Los atacantes, una vez que consiguieron acceder a la web de Andrés, han utilizado diferentes carpetas del servidor para realizar un ataque de phishing contra un banco y habían dejado todo preparado para realizar otros a otras entidades financieras.

¿Cómo saber si mi web ha sido comprometida?

Para saber si la web de nuestra empresa ha sido comprometida por un ciberdelincuente y está siendo utilizado para realizar phishing, podemos realizar las siguientes comprobaciones:

  • Revisar los sistemas de monitorización de nuestro servidor web. Si vemos gran cantidad de tráfico (consultando las gráficas o los logs de los servidores) a una página poco importante o desconocida, es probable que nuestro servidor haya sido comprometido.
  • Comprobar si hemos recibido alguna notificación de proveedores de servicios de alojamiento o de un tercero (un proveedor de internet, un equipo de seguridad, un CERT o centro de respuesta ante incidentes de seguridad…). Suele ser la forma más habitual en la que una empresa conoce esta situación. Principalmente a través de correo electrónico de contacto de nuestra web.
  • Comprobar sin nuestra página web o dirección IP está en alguna lista negra de phishing. Aunque la vía principal son las dos anteriores, realizando consultas en las diferentes listas negras públicas disponibles, como pueden ser:

Detección de phishing

El servicio phishtank almacena un listado de las URLs que albergan phishing

Nos permitirá como complemento a las anteriores, sobre todo para conocer si nuestra web ha sido detectada por otros sistemas como no confiable y por tanto bloquearía el acceso a muchos usuarios a nuestra web.

¿Cómo solucionar este tipo de ataques?

Si detectamos que nuestra web ha sido modificada sin nuestro consentimiento, junto el equipo técnico debemos:

  • Informar al proveedor de servicios de alojamiento de que tu sitio se ha visto comprometido.
  • Acceder a la ruta donde se encuentra alojada la web afectada y guardar la fecha de modificación o creación de los ficheros alterados o añadidos antes de eliminarlos de la web o de restaurar los originales.
  • Realizar una copia de seguridad de la web fraudulenta por si se nos pidiera en el futuro en caso de que haya algún tipo de reclamación.
  •  Revisar los registros de nombres (DNS) para ver si hay algo fuera de lo normal y si lo hay, eliminarlos.
  • Revisar el tráfico de correo electrónico para ver si hay un volumen de tráfico fuera de lo normal. En ocasiones suelen combinarse estos dos ataques (web y servidor de correo comprometido) En ese caso podría ocurrir que además del phishing hubieran instalado un motor de envío de correos electrónicos SPAM.
  • Revisar los registros de información del servidor y del servicio de subida de ficheros que utilices en la web: FTP (del inglés File transfer Protocol, protocolo de transferencia de ficheros) para tratar de identificar como se han modificado o añadido los archivos a la web. Revisar las fechas próximas a las identificadas anteriormente.
  • Si los contenidos han sido subidos utilizando un usuario y contraseña legítimos, identificar el usuario y cambiar la contraseña del mismo.
  • Revisar los equipos donde se utiliza ese usuario y realizar un análisis con software antimalware por si estuviesen infectados.
  • Revisar el código de la web en busca de posibles vulnerabilidades que hubiesen permitido el compromiso de la web (inyección SQL, XSS, RFI, software desactualizado, etc.).

Si es una web a medida consultar siempre con el desarrollador que la haya diseñado. Si no se llega a identificar el problema se debe contactar con el proveedor de alojamiento para solicitar ayuda por si fuese un problema del servidor. En cualquier caso siempre es importante contar con el apoyo de profesionales de Ciberseguridad.

Si además, el servidor está alojado en la propia empresa se deben añadir los siguientes pasos:

  • Revisar los logs de la máquina en busca de un posible compromiso. Realizar un análisis con herramientas antimalware tanto en el servidor como en los orígenes de la infección detectados.
  • Buscar el origen de la infección.

En las siguientes guías se pueden encontrar más recomendaciones de actuación:

Como mencionábamos antes, hay que tener en cuenta que al igual que hay listas negras de spam, también existen listas negras de phishing que hacen que algunos navegadores consideren a nuestro portal web como ¡peligroso! Por eso, una vez solucionado el problema, se debe solicitar un análisis de la web para eliminarla de las listas negras de phishing. Como por ejemplo: la lista de Google Safe Browsing:

¿Qué hacer para no sufrir un phishing en tu web?

En este tipo de incidentes, la prevención es fundamental. Mantener nuestros equipos (y servidores) actualizados, tener unas contraseñas robustas, realizar auditorias de seguridad al portal web y concienciar en materia de ciberseguridad a los empleados, son las principales medidas para que los ciberdelincuentes no utilicen nuestros servidores web para alojar contenidos maliciosos.

También es una buena práctica hacer auditorías de seguridad periódicas tanto al portal web como al resto de sistemas de la empresa. Sobre todo si se estamos hablando de procesos de negocio y servicios fundamentales dentro de nuestra empresa apoyadas en tecnologías de la información y las comunicaciones.

Si la web está basada en un CMS, actualizar a la última versión disponible (incluyendo los plugins instalados) y seguir consejos de las siguientes guías:

Un caso típico se da en los formularios en los que se puede subir una imagen a través del portal web. Si no se comprueba el tipo de fichero, pudiendo el usuario (malicioso) subir otro tipo de archivo que permitiría tener acceso al resto de la web o incluso a todo el servidor. Ese tipo de fallos deben ser revisados por los desarrolladores del portal web.

De forma general las principales recomendaciones para que las realices junto con el equipo técnico que gestione tu servidor de web pasan por:

  • Comprobar si todo el software de tu empresa se encuentra actualizado. Existen herramientas en el catálogo de ciberseguridad de INCIBE que nos pueden ayudar en este cometido.
  • Comprobar que todo el software que corre en los servidores tanto web como de correo electrónico este actualizado.
  • Configurar adecuadamente el servidor web.
  • Comprobar que el antivirus se encuentre activo y actualizado.
  • Utilizar contraseñas robustas, sin basarse en palabras existentes y que contenga con números, mayúsculas, minúsculas y símbolos con una longitud de al menos 8 caracteres.
  • Nunca compartir contraseñas con otros compañeros de trabajo.
  • Establecer una política de cambio de contraseñas periódico.
  • Desconfiar de los adjuntos de remitentes no confiables en correos electrónicos.
  • Tener especial cuidado a la hora de navegar por Internet desde los equipos de usuarios que gestionan el portal web.
  • Monitorizar lo que se denomina tráfico saliente (HTTP/HTTPS) del servidor web.
  • Nunca almacenar las credenciales en ficheros alojados en un PC o servidor.

Hay que recordar que tanto el haber sufrido un phishing, como que nuestro dominio o IP esté incluido en listas negras de phishing puede suponer no solo perdidas económicas para la empresa sino también pérdida de imagen, por ello aplicar estos consejos se hace esencial.

Este tipo de incidentes son habituales, por lo que toda precaución es poca. Desde INCIBE te ofrecemos diferentes materiales información que pueden ser de utilidad para ayudarte a mejorar la seguridad de tu empresa. Además, si has sufrido un incidente similar, estamos aquí para ayudarte.