Cibercrimen ¿(des)organizado? Detecta los movimientos extraños de los malos

La falta de conocimiento sobre el funcionamiento del cibercrimen ocasiona que infravaloremos nuestras propias posibilidades indagatorias y la capacidad para los valorar movimientos extraños a los ataques de los malos. Es verdad que cada choricillo tiene su librillo y aunque cada semana intento daros pistas, hay nociones muy básicas que pueden ayudarte a ponerlos en el punto de mira y que deberías conocer.

Los malos, a veces, no actúan de forma tan organizada. Salvo que sea una ataque dirigido y específico, su actividad (sobre todo en el caso de las estafas) es tan frecuente que va dejando rastros digitales de su navegación por la Red. Por otra parte, los cepos que utilizan para engañarnos, pueden ser reconocibles y darnos mucha información. Ponte pintura de camuflaje y afina el ratón que nos vamos a la caza del malo en la Red con unas estrategias muy básicas.

 

Estrategias choricescas

Vamos con las webs sospechosas que incluyen código malicioso en sus enlaces o diseñadas para el robo de información personal y credenciales bancarias o de tarjetas de crédito. No vas a testear y hacer un escáner manual del código de la página, eso es para nivel semioro. Lo que más abunda entre los defraudadores es enviar links a supuestas webs ( recuerda las URL,s acortadas) para que una vez pinchemos sobre el enlace, nos redirija a una tercer sitio malicioso.

 

¿Cómo camuflan los links? Mediante técnicas de ofuscación de código que sirven, entre otras cosas, para manipular código y nombres de dominio con durante la programación de estas webs que, finalmente, te acaban llevando a la web maliciosa que han diseñado. A veces, el propio buscador o tu antimalware te van a avisar de este pase torero técnico pero no siempre. Atento a las alertas.

Aunque parezca muy básico mencionarlo, siguen cayendo cientos de miles de usuarios en webs que te roban contraseñas. Juegan con los parecidos tipográficos, de forma que crean una página simulada con la misma apariencia que la original y un dominio (el nombre de la web) casi idéntico; por ejemplo, en vez de denominarse www.lacaixa.es ,“Tu eres la estrella”, se denominaría www.lacaxia.es (“Te vas a estrellar”).

Otra opción es examinar el código html ( código que permite que una web tenga un contenido y apariencia determinada) con el que están diseñadas las webs. Bajo este código, los malos esconden los atributos que señalan a las verdaderas URLs (webs) maliciosas a las que te conduce verdaderamente el enlace origen y no al que crees que vas a acceder. Vamos con un ejemplo. Mis amigos del whatsapp espía, que como veis, están en todas. A parte de las suscripciones a los SMS Premium por la supuesta descarga de una aplicación inexistente ¿cómo ganan dinero?

Captura de la web http://www.espiarconversacioneswhatsapp.com/

Como vimos en otros artículos, la Red está inundada de supuestos posts sobre cómo descargarte este tipo de aplicaciones espía, supuestamente, para los diferentes sistemas operativos y dispositivos. Lo que hacen realmente estos enlaces es conducirte siempre a la misma web de descarga. Nos situamos sobre la propia web y clicamos “botón derecho”; aparecen diferentes posibilidades, entre ellas, “Ver información de la página”, “Inspeccionar elemento” o “Ver código fuente”. Seleccionamos esta última.

Acción “botón derecho” en la web http://www.espiarconversacioneswhatsapp.com/

También podemos realizar esta misma acción sobre la web http://speedyfiles.net/file/0yGN0, que proviene de cualquiera de todos esos enlaces señalados en con el color verde de “descargar whatsapp para Android, para LG, para Iphone, etc…”

Código html de la web http://speedyfiles.net/file/0yGN0

Como puedes ver, el código html (obtenido a través de la opción “ver código fuente” o “inspeccionar elemento” nos muestra que son enlaces a http://sharecash.org/index.php, una web que paga por cada descarga. En otro caso, podría haberte dirigido a una web maliciosa.

Captura de pantalla de la web http://sharecash.org/index.php

Si te parece un engorro tener que analizar el código fuente de las webs en busca de links sospechosos, te dejo el enlace a esta web, que comprueba el enlace por ti y te da toda la información que pueda aparecer sobre tu web investigada

http://wepawet.iseclab.org/index.php

 

Captura de la web http://wepawet.iseclab.org/index.php

Además de ser una web que paga por descargas, sharecash.org  está relacionada con muchas más de este tipo.

Otro truco rápido, nivel muy principiante, es pasar el cursor por encima del supuesto enlace; te aparecerá el nombre real de la web.

Supuesta web de descarga a una actualización de la aplicación Adobe Flash

 

Porque los emails no vienen del más allá. Lo que el ojo no ve

Acordaros de la posibilidad que hay de enmascarar su verdadero origen. Emails con dominios muy parecidos a los de tu banco o suplantados, directamente. Recibes un email de la ¿Agencia tributaria? ¿Estás segur@? Devoluciones@aeat.com , lo dice claro. Vamos a ver su verdadera procedencia.

Captura de un email en servidor de correo gmail

Información útil y rápida que obtener de un mensaje de correo electrónico es la que proviene de lo que se denominan las cabeceras técnicas. Busca en Google la forma de obtenerlas, que dependerá del servidor de correo que utilices: Outlook, Gmail, o Mozilla Thunderbird, entre lo más usados. No obstante, como indicación intuitiva, has de tener en cuenta que, para obtener la información de la cabecera, normalmente debes situar el puntero del ratón sobre el contenido del mensaje en cuestión o en la bandeja de entrada y pulsar el botón derecho. Verás un cuadro de texto con diversas opciones, entre ellas “mostrar original”, “Propiedades” o “mostrar código fuente”.

La ristra de caracteres que obtienes es la información del email. Aquí podrás ver en el campo “Received” señalado en rojo que el email se ha remitido desde otro lugar ( se ha omitido esa información) que, desde luego, no es la Agencia Tributaria. No obstante, aunque no es lo habitual, algún día veremos que se pueden modificar más datos de la cabecera de un mail.

 

Metadatos

Datos, generalmente no modificables, que guardan las aplicaciones y los archivos al ser incluidos en la Red. Es decir, que  además de los datos del propio contenido del archivo o de la web, éstos contienen información valiosa, como pueden ser las propiedades del archivo, ruta donde estaba guardado el documento, el nombre de la persona que lo originó y de los que lo han revisado, etc. A veces, se puede observar en las propiedades o información del propio documento o a través de programas específicos para obtener esta información.

Por ejemplo, las fotos. Entre la información que podrían contener relacionada con el dispositivo, cámara o móvil desde la que fue tomada,  marca y modelo de la misma, fecha de la fotografía, en algunos casos, se incluye la ubicación geográfica (con las coordenadas) si tiene GPS activada y carga el dato en la imagen. ¿Para qué nos sirve? Para detectar la verdadera procedencia de los fotos en los anuncios de segunda mano.  Utiliza el buscador de imágenes de Google https://www.google.es/imghp?hl=es&tab=wi&ei=qU3IVbzgAcKpUaDCi6gP&ved=0CBMQqi4oAQ

Introduce la foto en el buscador de Google. A lo mejor, esa supuesta casa magnífica fue tomada desde un lugar de EEUU, no de Málaga y además, está publicada en otros anuncios de Valencia, Cádiz y Almería.

 

Datos de contacto en las webs y anuncios como emails y teléfonos

No sabéis la cantidad de información que se pueden obtener al introducir el teléfono en un buscador. Es probable que coincida con otros anuncios y webs o aparezca en algún foro posteado por un amargado usuario que ya ha sido timado. Acordaros del capítulo anterior en el que mi amiga Nancy aparece pluriempleada atendiendo varias webs de medicamentos online relacionadas con servidores y listas negras de spam.

Ahora, seguro que vuestro ojo crítico está más afinado.