Ayer me encontré con un post muy interesante sobre una página web falsa que está siendo utilizada para estafar personas renovando pasaportes mexicanos. Ya que justo me dedico a investigar temas de ciberseguridad, se me ocurrió tomar unos minutos para buscar qué más podía encontrar sobre la infraestructura utilizada para el ataque.
Desde hace uno o dos años han sido publicadas notas periodísticas y alertas de gobierno con respecto a este tipo de ataques. Sin embargo, no encontré ninguna publicación en que se explicaran los métodos del atacante. Aprovechando la oportunidad, escribí este post rápido investigando más a fondo una campaña de fraude que hemos observado desde finales de 2020.
Partiendo de un solo dominio (SPOILER ALERT), encontré más de 80 páginas aparentemente generadas por el mismo actor. Además, la mayoría de las páginas siguen activas, lo cual indica que muy probablemente siguen habiendo víctimas día con día. ¯\_(ツ)_/¯
Como última aclaración antes de mostrar mi investigación, resalto que esta publicación no tiene voz oficial ni refleja la postura de ninguna compañía. Es solamente un ejercicio personal para compartir algo de lo que hacemos día con día en mi comunidad . Ahora, vamos a mostrar el transfondo detrás de este crimen.
Nota: todos los links de esta publicación contienen caracteres extra '[]', lo cual utilizamos para que nadie haga click sin querer y sea redirigido hacia el atacante.
Los Hechos
El 8 de enero de 2021 vi por primera vez en redes sociales la publicación describiendo el fraude. De acuerdo con este post, la víctima buscando renovar su pasaporte, envió un pago por medio de la página citapasaportegobmx[.]com. En la nota se aclara que el dominio real del gobierno es .gob.mx en vez de gobmx[.]com. Pero claro, ya que es difícil notar estas sutilezas, es fácil equivocarse y pensar que la página falsa es oficial.
Este tipo de ataque es muy común, se le conoce como typosquatting (y otros derivados). El término original (y derivados), se refieren a individuos registrando dominios semejantes a los utilizados por páginas web oficiales, para lograr que un individuo las visite sin notar que son distintas. Por ejemplo, algo que veremos más tarde es que este grupo o individuo ha creado más dominios con distintas combinaciones como "pasaprote" en vez de "pasaporte".
Los sitios creados por el atacante buscan ser muy semejantes a la página real para engañar al usuario. Aunque claro, a veces quedan uno o dos errorsitos... Así lo demuestran las imágines de la página falsa:
1) Nada es para siempre (fuera de las licencias para conducir de cdmx del 2010). No existen los pasaportes permanentes.
2) La soberana "Delegacipon" Yucatán ¡Ups!
Como en cualquier otro ataque de ingeniería social, los criminales saben cómo aprovechar la alta demanda de los usuarios por acceder contenidos o servicios sobre temas importantes. Así como lo vemos aquí con los pasaportes, existen miles de páginas semejantes que engañan diariamente a usuarios utilizando otros temas como salud, vacantes de trabajo, o servicios bancarios.
Investigando El Ataque (Por fin)
Pues ya tenemos un sitio web y una fecha ¿Ahora qué?
Mi primer paso fue tomar el sitio citapasaportegobmx[.]com y analizarlo en una plataforma reconocida para análisis de archivos y sitios maliciosos. De acuerdo con el análisis automatizado de decenas de proveedores de servicios de ciberseguridad, nuestro sitio NO tiene malware y es visitable (al menos por ahora). Aparentemente se trata únicamente de fraude y nada indica que exista un actor con mayores capacidades técnicas. Únicamente alguien creando copias de páginas web comunmente visitadas.
Algo más que encontré es que el sitio web de fraude resuelve a la dirección IP 3.22.172.66. Esta dirección nos sirve para saber dónde está ubicado el sitio e investigar qué otros sitios se encuentran en el mismo lugar. Utilizando un par de herramientas, encontré una lista de más de 20 sitios que han resuelto a la misma dirección IP entre octubre 2020 y enero 2021. ¿Notan algún patrón?
Todas estas direcciones no solo se encuentran (o se encontraron en algún punto) hospedadas en el mismo lugar, sino que también tienen temas en común. Todos estos dominios describen modificaciones en torno al tema de pasaportes, México, citas, y el registro civil. (Normalmente cuando observo dominios agrupados en un mismo servidor puedo llegar a encontrar miles de direcciones sin relación alguna. Pero en este caso, es más claro que el agua.)
Utilizando otra herramienta, pude corroborar que varios de los sitios resuelven a los mismos contenidos. Es decir, que si visitamos cualquiera de estas direcciones, podríamos ser víctimas del fraude, pues todos los caminos llevan a Roma. Esto no solo aumenta la probabilidad de que el creador encuentre víctimas, sino que también incrementa el número de páginas que estan relacionadas resultando en mayores probabilidades de que el buscador de Google las muestre como opciones prioritarias.
Aún Hay Más...
Resulta que 17 de los sitios resuelven en la misma dirección IP, pero haciendo un mapa de esta dirección IP y su relación con registrocivil-enlinea[.]net, podemos aprender más sobre la infraestructura utilizada por el atacante. Resulta que este grupo no comenzó su actividad en noviembre, sino desde al menos marzo de 2020 cuando registraron sus primeras páginas con temas sobre registro civil, buró de crédito y actas. Más tarde a finales de 2020, surgieron los nuevos sitios para fraude de pasaportes que siguen activos al día de hoy. (Es muy posible que haya más actividad que no está incluida en este blog.)
Demos un paso atrás y déjenme explicarles cómo encontré esto.
Muy lindo ¿no? En términos generales el diagrama explica lo siguiente:
Del lado izquierdo vemos nuestra dirección IP inicial respondiendo a los sitios que mencioné en la sección anterior.
La página de registro civil se encuentra relacionada con nuestra IP inicial, y por lo tanto con nuestra página de fraudes para aplicaciones de pasaporte mexicano.
En el camino entre ambas páginas encontramos tres banderitas de Estados Unidos. Estas son tres direcciones IP más que contienen sitios adicionales y que se encuentran relacionadas con nuestra dirección IP inicial y con la página espuria de registro civil.
¡En una de estas direcciones adicionales encontramos 53 sitios más con los mismos patrones de contenido!
De este modo, al sumar los sitios que encontré y deduplicarlos, encontré un total de 89 casos únicos que están muy probablemente relacionados. ¿Cómo puedo saberlo? La verdad, no puedo tener completa certeza, pero demuestro mi conclusión con evidencia:
Los dominios ubicados en las cuatro direcciones IP, todos están relacionados a trámites mexicanos utilizando distintas configuraciones y posibles errores de dedo.
Los dominios que se registraron a inicios de 2020 se refieren al registro civil, actas y buró de crédito. Más tarde a finales de 2020 se registraron varios sitios enfocados en pasaportes.
Existen algunas consistencias en los registros de los dominios, por ejemplo en varios casos se usaron servicios de namecheap.com, o de akky.mx.
La mayoría de los sitios cuentan con certificados para verificar la identidad de la página web. Si bien los certificados normalmente son para mantener al usuario seguro, todo depende de quién es la autoridad que certifica la página. En este caso, los dueños utilizan primordialmente los servicios de "Let's Encrypt", que es gratis y abierto, y por lo tanto útil tanto para sitios tato legítimos como espurios.
La lista de los 89 sitios está incluida como un apéndice.
¿Y Ahora qué Hacemos Rick?
El ejemplo que vimos aquí demuestra cómo con un poco de investigación con fuentes abiertas es posible encontrar bastante información con respecto a la actividad maliciosa de este tipo de criminales. Si bien esto es muy entretenido y útil, existen límites. Pasar de la investigación a los hechos requeriría de más recursos y ya recae en las autoridades.
Con este ejemplo quería además demostrar no solo el lado entretenido de jugar al detective, sino los retos y oportunidades que nos presenta la tecnología en materia de ciberseguridad. Siendo un caso tan simple, los profesionistas en el campo tenemos que ser muy creativos para encontrar información sobre ataques a la vez que lidiamos con los límites puestos por la industria para salvaguardar la privacidad de los usuarios. Como todo en la vida, este tipo de estructuras tiene pros y contras, ya que protege la información de buenas personas, pero también los actos maliciosos de criminales.
Por último, quisiera mandar mi más sincero pésame a las víctimas de este fraude, ya que desafortunadamente es poco probable que vayan a recuperar su dinero. Este tipo de crimen se encuentra cada vez en aumento y lo mejor que podemos hacer es tomar una postura activa, no reactiva. Es decir, aprender sobre el tema para ayudar a los nuestros a que aprendan las medidas a seguir para utilizar servicios en línea del modo más seguro posible.
Nota: Si llegaste hasta aquí y quisieras platicar más al respecto con todo gusto quedo a tus órdenes. Siempre abierto para responder dudas, tomar recomendaciones, correcciones sobreel contenido, quejas, apoyo motivacional, preguntas, o lo que sea.
Comments