Microsoft no quiere cerrar una instancia de su nube utilizada para campaña de phishing

BocaDePez 13 abril 2020 18:55 ✎

⋮

En primer lugar, pido disculpas si este post no está dirigido al subforo más adecuado. Soy visitante y lector ocasional, he visto los existentes subforos y Offtopic me parecía el más adecuado para mi mensaje.

Ayer recibí un SMS en mi teléfono móvil que pertenece a una "supuesta" campaña de phishing. Yo nunca he recibido ningún SMS ni correo electrónico de estos, pero conozco los detalles que suelen tener y lo identifiqué. Fundamentalmente, "notifican" al usuario que su cuenta bancaria se ha bloqueado, y que puede desbloquearla "de forma segura" a través de un enlace que se incluye en el mismo SMS. El remitente del SMS es identificado como "Noticias", y el enlace que envían está generado a través de un servicio de acortamiento de URLs. Inmediatamente tras recibir el SMS lo notifiqué a la Policía a través de este enlace. No sé si es la forma más adecuada de notificarles, y, aunque supongo que tendrán constancia de la campaña por otras notificaciones anteriores, lo puse en conocimiento de ellos (tras 2 intentos, ya que en el primero el sistema me lanzó un error al intentar enviar el formulario).

Mientras escribía la notificación a la Policía, investigué un poco acerca de esa URL acortada incluida en el SMS. La abrí en un navegador de mi ordenador y se abrió un portal que imita al legítimo de la entidad bancaria. A simple vista, la página Web parecería la legítima, por tipografía y estilos. El portal consiste, principalmente, en un formulario que solicita el DNI/NIF/Pasaporte y la clave de acceso. Luego tiene un footer con los enlaces típicos de "Aviso legal", "Privacidad", etcétera. En ningún momento rellené nada en el formulario dado que conocía que el sitio es fraudulento.

La URL acortada lleva a otra completa. Esta URL completa está formada por una dirección IP a secas y una ruta, con un parámetro de la URL cuyo valor parece una dirección de correo electrónico y que está a simple vista. Identifiqué el sitio como fraudulento por:

La URL no tiene ningún nombre de dominio asociado al banco, es una dirección IP a secas, además del parámetro con la dirección de email que aparece.
La conexión no es segura, se utiliza el protocolo http en lugar de https.

En cuando vi la dirección IP, la introduje en la herramienta de WHOIS que se proporciona en Banda Ancha y me devolvió que pertenece a Microsoft. Así que contacté con Microsoft y les notifiqué que a través de una IP de su pool se estaba llevando a cabo una supuesta campaña de phishing y les puse los detalles de la dirección IP. En muy poco tiempo me respondieron, indicándome que esa IP pertenece a sus servicios en la nube, y cerraron la incidencia, notificándome lo siguiente:

La actividad reportada está asociada con una cuenta de un cliente del servicio de Microsoft Azure. Microsoft Azure proporciona una plataforma de computación en la nube en la cual los clientes pueden desplegar sus propias aplicaciones de software. Los clientes, y no Microsoft, controlan qué aplicaciones se despliegan en sus cuentas.

En otras palabras, entiendo que Microsoft no puede detener ni cerrar/borrar la instancia que se esté utilizando para llevar a cabo dicha actividad, lo cual me sorprende de primeras, aunque intuyo que puede haber alguna explicación con base legal detrás, la cual desconozco actualmente.

Actualmente el sitio sigue funcionando, y mientras tanto cualquier persona que desconozca que se trata de phishing puede verse afectada.

Un saludo, y cuídense.

Russell 13 abril 2020 19:00

-1

⋮

Recibí un SMS de las mismas características que intentaba suplantar a Bankia.

Bramante 13 abril 2020 19:03

⋮

"La actividad reportada está asociada con una cuenta de un cliente del servicio de Microsoft Azure. Microsoft Azure proporciona una plataforma de computación en la nube en la cual los clientes pueden desplegar sus propias aplicaciones de software. Los clientes, y no Microsoft, controlan qué aplicaciones se despliegan en sus cuentas."

Por qué las corporaciones necesitan usar tanta puta palabrería vacía para acabar diciendo "…nos la suda, déjanos en paz. Mientras el cliente pague, salga el sol por Antequera."

✖

BocaDePez 13 abril 2020 20:30

⋮

como se nota que no has trabajado con abogados. Te quedarias sorprendido de como una frase aparentemente inocua puede afextar al sentido de un contrato

✖

Bramante 13 abril 2020 20:33

⋮

Si la intención es usar el lenguaje como trampa y arma arrojadiza, claro, puedes enrevesar y oscurecer los textos tanto como sirva a tu propósito.

rbetancor 13 abril 2020 20:47

⋮

A eso se le llama Oratoria, en versión escrita … tienes el ejemplo más palmario en nuestros queridos políticos … les preguntas por el color del caballo de santiago, y son capaces de tirarse 2h hablando sin contestarte la pregunta … XDD

vukits 13 abril 2020 19:16

⋮

Buenas.

Si ves que la policía no hace nada en 72h, tú mismo lleva la denuncia a un juzgado.

Eso ha sido siempre así.

un saludo

Josh 13 abril 2020 19:59

⋮

Bien por reportar y mal por MS que se desentiende del tema.

rbetancor 13 abril 2020 20:00

⋮

Buen trabajo de forensics … el comportamiento de M$ es el habitual en el mundo de cloud/hosting/housing … como no les llegue una notificación judicial, les suda un cojón y parte del otro lo que su cliente esté haciendo con la máquina.

Si te cuento la de ataques SIP que llegan todos los días desde AWS, OVH, Heftner y sobre todo de varios operadores Paquistanies, con pools de IP's holandesas … es que se te cae la quijada al suelo.

✖

pepejil 14 abril 2020 13:32

⋮

Yo he tenido que lanzar varios reportes de abuse a Hetzner y OVH sin respuesta, pero a los 2 días, esas máquinas cesaron (no sé si porque fueron desconectadas o formateadas como es el modus operandi de OVH).

OVH Kimsufi a la mínima te deja la máquina o desconectada o sólo con opción a ser reinstalada de cero si tienes algo anormal instalado que les pueda hacer pupita al resto de su red.

Yo creo que sólo se preocupan si esa máquina pudiera hacer daño a toda su red (DDoS, spam masivo…). Pero si es una máquina que manda phising, como no es algo que afecte a su red, se la sudan si no es por orden judicial.

✖

rbetancor 14 abril 2020 14:09

⋮

Yo te puedo decir, que tenemos IP's bloqueadas y reportadas de OHV y de Hetzner desde hace meses … y que las máquinas siguen a lo suyo, y por supuesto lo del reporte a abuse … irá directo a /dev/null

Solo una vez, con un operador Indio, que tiene pools en Holanda y reclamación a RIPE mediante, conseguimos que les dieran un kapón, también es verdad que del /24 que denunciamos, teníamos reporte de TODAS y cada una de las IP's … no se que excusa le dieron los tipos a RIPE o si simplemente quitaron nuestras IP's de sus listados de targets, pero pararon en seco los ataques a los 4 o 5 días.

Es que es brutal … teras y teras de tráfico inútil, porque los joputas no se casan, como vean el puerto abierto … a dar por culo, aunque luego les bloquees, siguen y siguen …

✖

pepejil 14 abril 2020 16:14

⋮

En Google Cloud, Azure y AWS tengo la percepción de que está la cosa más controlada pero no sé hasta que punto. Recibimos muchas peticiones de ellas pero no sé hasta qué punto son simples rastreadores web o que van más allá.

Pero al menos en mi caso estoy de acuerdo en que OVH a veces parece una selva. Antes tenían un foro oficial donde no había más que reportes de rangos de IPs en listas negras en máquinas de nueva adquisición. No se salvaba ni una IP. Parece que la política sigue siendo la misma y si te entregan una máquina nueva con un rango que previamente se usó en ataques, ajo y agua para el cliente.

✖

rbetancor 14 abril 2020 16:51

⋮

BocaDePez 13 abril 2020 21:47

⋮

Hola,

Soy quien abrió el hilo. Muchas gracias a los moderadores/admins por mover el hilo al subforo adecuado, y también por retocarlo un poco para darle más claridad.

@PequeñoSaltamontes, justo es de esa entidad. No puse el nombre directamente porque imagino que es extrapolable a otros bancos.

@vukits, gracias por la recomendación, la tengo en cuenta. No obstante, esperaré a ver si obtengo alguna notificación de la Policía.

Gracias a todos por las respuestas. He estado mirando un poco el código fuente del sitio y, por lo que he podido ver, manda los datos del formulario a una especie de servlet, el cual parece redirigir a otra página con un nombre de dominio que no resuelve (me devuelve NXDOMAIN), y que, aparentemente, pide los datos completos de la tarjeta de crédito, incluido el CVV. Así que, nada bueno.

Saludos.

✖

pacololrelol 13 abril 2020 22:33

⋮

Podeis hacer un bot que se dedique a mandarle numeros falsos

BocaDePez 13 abril 2020 23:37

⋮

Las telecos se quejaban mucho de la pirateria, pero practican poco la etica y la seriedad comercial. Me recuerda a la epoca de los numeros de tarificacion adicional, los famosos 906 , cuando los operadores miraban hacia otro lado hasta que no les llegaban las denuncias de los usuarios a traves de los juzgados. Todo por la pasta.

✖

BocaDePez 14 abril 2020 12:59

⋮

Las empresas de hosting suelen cerrar esos sitios en minutos cuando denuncia la empresa afectada. Otra cosa es que las de particulares no tengan el mismo efecto.

BocaDePez 14 abril 2020 09:27 ✎

⋮

Lo mejor es que lo reportes la URL a Google Safe Browsing.

Ellos se encargan de que la URL aparezca baneada en Chrome y Firefox

BocaDePez 14 abril 2020 12:58

⋮

Por mi experiencia cuando es la empresa afectada la que reporta el caso la web se cierra en minutos, por desgracia estos días lo veo casi a diario.

Pero que las denuncias de particulares se despachen con un plantillazo tampoco me corprende.