[HowTo] Cazando phishing, scammers, spammers y demases.

¿Cada quien se divierte como quiere no? Me llegó un mail de esos con publicidad barata, el tipico SPAM prometiendo la vida facil, inversiones rentables, la chancha, los 20 y la máquina de hacer chorizos…

Y me llegó en mal momento… (Me llegó sin tener yo nada mejor que hacer que enojarme con este tipo de gente).

Una cosa es que te manden propaganda no solicitada intentando vender algo. Si me interesa lo miro, si no, lo dejo pasar.

Otra cosa muy distinta es que por medio de engaños intenten sacarte guita. Meter la mano en el bolsillo de los ingenuos. DELITO, penado por la ley y todo.

Este SPAM (o SCAM, o PHISHING) que me llegó, si no fuera por un poco de investigación que hice tendría toooooda la pinta de ser uno de esos casos en donde el pobre estúpido engañado pierde unos cuantos pesos, y yo no tengo nada mejor que hacer ya mismo, así que –como dijo jack el destripador– vamos por partes:

Que se puede deducir de los hipervínculos (enlaces, links) nada mas pasando el mouse por encima:

Este email que recibí tiene varios enlaces como este:

http://uv0171.us13.toservers.com/emkt/out2.php?ie=37654&ic=2953&URL=http://www.elinmobiliario.com/info.php?cont=poolinmobiliario.pta&emp=Pool%20Inmobiliario

No hace falta ser un iluminado para darse cuenta de que están interactuando dos dominios: Tenemos por un lado el que llamaré dominio1: “uv0171.us13.toservers.com”  y por el otro el que llamaré dominio2: “www.elinmobiliario.com”.

Dominio1 con seguridad debe pertenecer al encargado del SPAM. Que puede que sea la misma persona dueña de dominio2, pero eso veremos mas adelante.

Dominio2 muy probablemente pertenezca a la persona que le está pagando al dueño de dominio1 a cambio de una campaña de SPAM.

La parte críptica que hay entre ambos dominios y que dice:

emkt/out2.php?ie=37654&ic=2953

Evidentemente se refiere a email o electronic marketing a lo que le sigue un tal out2.php. Este out2.php es el encargado de redireccionar la petición http que yo originaría si hiciera click en el enlace incrustado en el email desde dominio1 hasta dominio2, pero hay un detalle a tener en cuenta: ¿Cómo llevar un registro de la efectividad de la campaña de SPAM?

Ahi es donde entra en juego  ie=37654&ic=2953. Esos dos valores representan mi dirección de correo electrónico en su puta base de datos. Si yo le hubiera hecho click al enlace que inctrustaron en el correo electrónico que me enviaron, tan solo hubiera visto la página web que el señor SPAMMER pretendía vender, en este caso dominio2, pero en el trasfondo, quedaría registro:

  1. Yo hice click. La campaña de SPAM sirve.
  2. Peor aún: MI DIRECCION DE E-MAIL EXISTE! (si bien esto queda confirmado cuando un email no “rebota”).
  3. Habiendo clickeado el enlace he confirmado que la dirección de correo electrónico no solo que existe, si no que además está activa!!

…Imagino que el próximo paso hubiera sido mover o diferenciar de alguna manera con una marca en la base de datos las direcciones existentes de las que no, para de esta forma poder enviar mas correo basura no deseado y vender o canjear esta base de datos a otros SPAMMERS, con lo que la curva de correo basura que uno va recibiendo a lo largo de su vida, se vuelve exponencial, cosa que no me molesta en absoluto siempre y cuando quieran venderme algo y no tomarme por pelotudo.

Y se pone peor: ¿Qué se puede averiguar nada mas mirando el código fuente del susodicho  mensaje?

Received: from pajarito1.no-ip.info ([190.231.18.112])

Cosas como esta: El mail se envió desde una pc que es capaz de resolverse a si misma con el nombre de dominio pajarito1.no-ip.info que es parte de los nombres de dominio que se pueden obtener de dyndns.org gratuitamente para usuarios con número de IP dinámico. Al momento de enviar el mensaje, el número de IP público de este dominio de dyndns era 190.231.18.112 y que actualmente mientras escribo ha cambiado a este otro: 69.65.19.125.

Received: from unknown (HELO misreportes.com) ([email protected])

Que además de resolverse a si misma por la interface wan con un dominio de dyndns, el nombre de host de la pc desde la que se envió el correo basura es mrepo y en la red tiene el número de IP 192.168.1.6. (Con lo que se podría deducir que hay además de esta pc enviando SPAM, no menos de otras 4 pc en la misma red local).

Return-Path: [email protected]

Que el objetivo de la campaña es llevar visitas a la página web de dominio2, que no prentenden recibir feedback (respuestas) por el mismo medio ya que la dirección de retorno pertenece a un dominio distinto a dominio2.

Si alguien sintiéndose interesado respondiera al correo electrónico que recibió lo único que lograría sería mas correo basura en su casilla de email, al confirmar que esta existe y está activa. (ver punto anterior).

Armado con todos estos datos, ¿Ahora que?

Veamos que hay detrás de uv0171.us13.toservers.com:

Interesting ports on us13.toservers.com (200.62.54.213):
Not shown: 984 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
26/tcp open rsftp
80/tcp open http
81/tcp open hosts2-ns
82/tcp closed xfer
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
5432/tcp closed postgresql
40911/tcp closed unknown

Se trata de un servidor linux, evidentemente. Está corriendo SSHd en el puerto 22 tcp.

La RSA Key fingerprint del servidor SSH es  7d:6f:0a:de:bc:9f:9c:19:be:1c:71:f6:a2:84:bc:4d (Se podría buscar en la lista de claves pseudo aleatorias generadas por la famosa vulnerabilidad de openssh en Debian y derivados para saber si estamos lidiando con este sistema operativo en –relativamente– poco tiempo.

~ $ ncat us13.toservers.com 21
220-FTP server ready.
220 This is a private system – No anonymous login

Nada por aquí, nada por allá, pero eso tiene toda la apariencia de ser el típico flag de bienvenida de proftpd.

~ $ ncat us13.toservers.com 25
220 us13.toservers.com ESMTP Postfix 2.7.40

Postfix corriendo en el 25 y 465… Ninguna pista acerca de la versión de linux.

~ $ curl http://us13.toservers.com
<b>us13.toservers.com</b>

Es un servidor dedicado parte del pool de toservers.com, nuestro scammer está haciendo uso del subdominio uv0171 dentro del mismo:

curl uv0171.us13.toservers.com
<!DOCTYPE HTML PUBLIC “-//W3C//DTD HTML 4.01 Transitional//EN”>

<html>
<head>
<title></title>
</head>
<body>
</body>
</html>

Ninguna pista interesante, no han alojado una página web en el subdominio para no levantar sospechas…

~ $ ncat uv0171.us13.toservers.com 80
GET HTTP/1.1

Apache tampoco revela nada, acerca de  la versión o sistema operativo sobre el que corre, el que mantiene estos servidores dedicados sabe lo que hace.

Veamos que pasa si hacemos fallar apache:

~ $ curl uv0171.us13.toservers.com/pepito.html

<!DOCTYPE HTML PUBLIC “-//IETF//DTD HTML 2.0//EN”>
<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL /pepito.html was not found on this server.<P>
<P>Additionally, a 404 Not Found
error was encountered while trying to use an ErrorDocument to handle the request.
<HR>
<ADDRESS>Apache/1.3.29 Server at onlineproject.com.ar Port 80</ADDRESS>
</BODY></HTML>

Bingo! Apache/1.3.29 Server at onlineproject.com.ar

Haciendo un poco de orden, que averigüé en 5 minutos acerca de la gente que está detrás de este mensaje de correo no deseado:

  • Dos números de IP: 190.231.18.112 y 69.65.19.125 (por pajarito1.no-ip.info) desde los cuales alguien sentado frente a la pc que en su red interna se llama mrepo cuyo número de IP es 192.168.1.6 envió SPAM por medio de un PHP mailer instalado en un servidor dedicado.
  • 5 nombres de dominio implicados: pajarito1.no-ip.info / misreportes.com / elinmobiliario.com / toservers.com (que probablemente no tenga nada que ver en el asunto) / onlineproject.com.ar

Que mas se puede sacar en claro disponiendo de esta información:

Podemos empezar por ver quienes son esos números de IP en ws.arin.net:

El primer número de IP desde el cual se originó el mensaje de correo, siguiendo el enlace desde arin.net hasta lacnic.net pertenece a Telecom:

inetnum: 190.231.18/23
status: reallocated
owner: Apolo -Gold-Telecom-Per

Nada nuevo, el tipo tiene Arnet de Telecom en su oficina, ¿Y con esto que?

Que un usuario mal intencionado bien intencionado podría hacer uso de:

person: Administrador Abuse
e-mail: [email protected]
address: Dorrego, 2520, Piso 7
address: 1425 – Buenos Aires –
country: AR
phone: +54 11 4968 [4900]

Para poner una denuncia, si no fuera que estamos en un país bananero en donde nadie nos va a dar ni tronco de bola.

El segundo número de IP está asentado en Illinois, EE.UU. Lo único que se saca en concreto de esto es que se está haciendo uso de un proxy en alguno de los dos casos usandolo como cloak para la IP real. Esto es facilmente comprobable tirando de nmap:

Interesting ports on 69.65.19.125:
Not shown: 997 filtered ports
PORT STATE SERVICE
80/tcp open http
8080/tcp open http-proxy
8888/tcp open sun-answerbook

Hagan sus apuestas: ¿Cual era el número de IP real del SPAMMER hoy 20 de Julio de 2009 a la hora 13:39:46 GMT -3 y cual es el que está detrás de un proxy?

Adivinaron!

¿Que mas se puede obtener de los 5 nombres de dominio ?

El dominio elinmobiliario.com, según el Network Information Center:

Administrative Contact:
Rossetti, Esteban erossetti@<borrado para evitar que le llegue SPAM>
Desarrollo Creativo
Calle Rivadavia <borrada la altura>
Cordoba, Cordoba 5000
Argentina
<borrado telefono> <borrado fax>

Parece ser simplemente el webmaster del sitio en cuestión si no fuera que además tiene a su nombre el dominio onlineproject…

Igualmente interesante, el dominio misreportes.com según nic.com:

Administrative Contact:
Pallaro, Andres soyrapallaro@<borrado, para que no le manden SPAM>
Calle Tucuman <borrada la altura>
Cordoba, Argentina 5000
Argentina
<borrado el teléfono celular>

Por último: El dominio onlineproject.com.ar según el Network Information Center de Argentina que es el que aloja el phpmailer en donde una base de datos corroborará si hice click o no en el vínculo:

Entidad Registrante: Esteban Rossetti
País: Argentina
Actividad: desarrollos de sitios web
Datos en Argentina
Domicilio: Rivadavia <borrado> piso <borrado> dpto <borrado>
Ciudad/Localidad: Cordoba
Provincia:
Código Postal: 5000
Teléfono: <borrado>
Fax: <borrado>

Conclusión:

  • No toma mas de diez minutos obtener, dirección de email, dirección real, nombre real, teléfonos, etc.
  • Aparentemente se trata solo de una campaña de email intentando vender y no de PHISHING, (gente intentando engañar), lo cual me molesta un 99.9% menos que las revistas de supermercados que me pasan por debajo de la puerta con ofertas, que esas si me ocupan espacio en la vida real, me llenan el cesto de basura, me ensucian las manos, me joden las pelotas! Alguien que legisle ese tipo de SPAM, que estoy seguro que contamina mas y jode mas.
  • No soy quien para hacer lío por esto, menos en un país en donde las leyes no funcionan.
  • Nada de esto pasará nunca de una mera explicación, pero que espero sirva para entender con que facilidad se puede rastrear a la persona detrás del correo electrónico.

CADENAS DE EMAIL, El famoso FWD:

Por cada vez que reenvias una de esas cadenas de email a todos tus contactos sin usar CCO (Con Copia Oculta) estás metiendo a todos tus contactos en una lista de gente que mas tarde o mas temprano acabará en las manos de un spammer que la usará para engrosar su base de datos, y que a su vez la venderá o canjeará engrosando las bases de otros spammers y así secuencialmente sucesivamente…

Usen el CCO, corten las cadenas de email reduciéndolas a lo que deberían ser, simples mensajes de correo electrónico que mueren en el destinatario. (Y mientras termino de escribir esto, siendo las 00:01 GMT -3 acabo de recibir otro SPAM de [email protected] queriendo venderme dos edificios inmejorables en zona nueva Córdoba 😀 )

Maldito Nerd

Informático por elección, linuxero por convicción, viejo y choto por que no queda otra, el tiempo pasa. Escribo sobre lo que mas me gusta: La música y las computadoras.

More Posts - Website - Twitter - Facebook - Google Plus

13 comentarios

  1. ¡Hey! Me quedé con las ganas de leer la parte donde buscas vulnerabilidades para la versión 1.3.29 de Apache y… las ponías en práctica con fines netamente educativos.

    ¡Saludos!

  2. Epa querido, cuanto enojo che… tanto lio solo para finalizar diciendo que no te molesta tanto o que te molesta mas una revista que un SPAM de estos…

  3. Flaco, sos un genio. Excelente info, que puedo hacer con la gente de onlinproyect y de mis reporets que me tienen los huevos llenos??
    Felicitacioens de nuevo, !!

    1. ¿Que podés hacer? Lo mas facil es darte de baja automáticamente de su base de datos haciendo click en el enlace que te proveen para tal fin. Si no funciona, siempre podés volver al blog, tomar nota de algún que otro nombre y apellido y pedir por teléfono que por favor te den de baja. Eso si debe funcionar.

      Saludos!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *