El presente artículo tiene dos partes: en la primera de ella se analizan las vulnerabilidades de una empresa proveedora de servicios de mailing y en la segunda se verá como los delincuentes aprovechan esas vulnerabilidades a su favor.
Como ya es costumbre desde Segu-Info seguimos analizando los casos de los correos que dicen provenir de VISA pero que en realidad son casos de phishing para estafar usuarios.
Analizando uno de los tantos correos reportados, luego de verificar las direcciones IP y el proveedor que se utilizó para enviar esos correos en particular, hemos hallado que el envío se realiza a través de un sistema de mailing (oficial y legal) que también es utilizado por grandes empresas argentinas para comunicarse con sus clientes.
Resumiendo, los delincuentes abusan de un servicio legal para distribuir sus correos, se deslindan de cualquier responsabilidad y se aseguran que los correos lleguen a los miles de destinatarios y posibles víctimas. Sin dudas un negocio redondo.
El servicio que se utiliza pertenece a una empresa ubicada en la ciudad de San Nicolás, Buenos Aires, con la cual ya nos hemos comunicado para informarles del problema:
El sitio de la empresa y que es el utilizado para crear los correos y posteriormente realizar el envío tiene múltiples vulnerabilidades que permiten desde ver los clientes de la empresa, sus usuarios, los productos adquiridos, sus deudas y hasta todos y cada uno de los correos enviados por dichos clientes a través del sistema de mailing provisto.
Por ejemplo analizando uno de los correos enviados por una sus empresas clientes más importantes, se puede ver lo siguiente (click para agrandar):
A continuación se muestran las descripciones de cada uno de los puntos marcados:
1. Es el nombre del usuario que recibe el correo que luego será identificado por un ID
2. Es el nombre de la empresa que contrata el servicio de mailing que tiene las vulnerabilidades mencionadas. Con una de estas empresas ya nos hemos puesto en contacto
3a y 3b. Conducen a enlaces provistos por la empresa de mailing
4. Es el dominio de la empresa de mailing afectada
5. El parámetro “l” del script “lt.php” es inyectable y puede modificarse a voluntad. En la imagen se puede ver el enlace:
http://www.[ELIMINADO].com/lt.php?c=503&m=425&nl=394&s=96b3b37e84a33dad0edc805a37a597d7&lid=2452&l=-http–www.pagomiscuentas.com/
Pero el mismo se puede modificar para permitir una re-dirección a otro sitio web:
http://www.[ELIMINADO].com/lt.php?c=503&m=425&nl=394&s=96b3b37e84a33dad0edc805a37a597d7&lid=2452&l=-http–www.segu-info.com.ar/
O a cualquier sitio que se desee, incluso uno dañino, que es lo que realizan los delincuentes cuando crean sus correos de phishing, como se verá a continuación.
6. Es la dirección de desuscripción al correo provista por la empresa de mailing.
Si se analizan los parámetros provistos se puede llegar a las siguientes conclusiones (parciales) y que ayudarán a seguir analizando los correos:
- El parámetro “c” parece ser el ID de cliente de la empresa
- “m” parece ser el ID de mail porque cada cliente puede enviar muchos correos
- “nl” desconocido aunque se podría referir a un ID de newsletter
- “funcml” permite realizar distintas funciones como puede ser la desuscripción de un usuario
- “s” parece ser el ID del usuario (o el DNI o un dato similar) que recibirá el correo y se entrega a través de un hashing en MD5
- “l” permite la redirección a un sitio determinado
- “previewtype” es la forma en que se desea visualizar los correos. Por defecto es en modo texto pero también puede ser HTML.
Entonces, uniendo todo lo anterior se puede comenzar a armar URLs de forma tal que se pueden ver los datos de las empresas y de cada uno de sus clientes. Por ejemplo, la siguiente URL muestra la plantilla utilizada para enviar el correo de la imagen anterior pero a sus usuarios de Paraguay:
Como puede verse lo único que falta en esa plantilla son los datos del usuario (cliente) que serán completados al momento del envío pero, si se conoce el ID del usuario, se puede conocer todos sus datos, los planes a los cuales se encuentra suscripto y su deuda (si la hubiera).
Entonces, en la siguiente imagen lo único que se hizo fue variar y combinar los parámetros utilizados:
Como si esto fuera poco, este sitio tiene varios problemas de inyección SQL y de listado de archivos que permite utilizar el servidor para fines delictivos. En la continuación de este artículo analizaremos cómo hacen los delincuentes para aprovecharse de las vulnerabilidades y de este servicio de mailing para enviar correos falsos de Visa.
Cristian de la Redacción de Segu-Info
