Este caso ilustra un fraude online a gran escala utilizando la identidad de la empresa DHL y su servicio DHL Express.

Si bien se trata de otro caso de estafa online mediante correo electrónico de suplantación del servicio legítimo de DHL Express (como el caso entrega en espera), este en concreto muestra las ramificaciones globales de la red criminal que ejecuta este plan. Con el asunto «Su envío aún está pendiente de instrucciones de usted» llega a nuestros buzones otro intento de robo de credenciales, la captura que mostramos se ha recibido desde un dominio de correo de Pakistán. El remite (editado con «X») es DHL-EXPRESS [email protected] y forma parte de una compleja red maliciosa de servicios que han sido atacados y utilizados para elaborar este plan de phishing DHL a gran escala.

Cabe destacar que muchos de estos fraudes online no se ejecutan desde medios comprometidos, simplemente se contrata un hosting web adecuado para las características de la trampa (la web maliciosa) y/o el plan de correo para envíos masivos.

Si alguna vez te encuentras con bloqueos más o menos habituales navegando desde tu casa, es decir que webs que deberías poder ver te niegan el paso, es posible que la IP que te asigna tu operador de telecomunicaciones esté «quemada», es decir que se ha usado previamente para operaciones de spam masivo o fraude de cualquier tipo y ha quedado registrada en una lista negra (o varias). Si es tu caso, solicita una renovación de IP.

Redacción Proyecto SafeTIC

El detalle de la procedencia del email no debe despistarnos de la naturaleza ubicua de este tipo de amenazas, este tipo de fraude cibercriminal es global, que se nutre de servicios de email poco o mal protegidos y utiliza a menudo direcciones de email verdaderas y legitimas para usos fraudulentos sin conocimiento por parte de los propietarios/responsables. Es decir, se puede enviar masivamente un mensaje desde un sistema de correo A que parece proceder del remitente de correo B, este «B» puede ser tu correo corporativo o una cuenta de correo particular.

Las cuentas de correo corporativo comprometidas son un gran problema para la ciberseguridad de las empresas, ya que la procedencia de un nombre conocido rebaja la percepción de peligro y nos llevaría probablemente a abrir un enlace o un adjunto potencialmente peligroso, de ahí a un ataque de encriptación de datos (ransomware) o al robo de datos bancarios de la empresa (phishing) todo es muy rápido.

Análisis del mensaje – Phishing DHL Express

La página web maliciosa se aloja en un subdominio de la Escuela Universitaria de Economía de Ho Chi Minh, en Vietnam (IP 203.113.172.39). Este subdominio es https://givinginfo.ueh.edu.vn (IP 203.113.172.41) y aloja un pequeño programa (técnicamente se trata de un script PHP) en el directorio (o carpeta) /.well-known/ que paradójicamente se utiliza para almacenar claves de identificación y verificación de hosts SSL, es decir que han escondido la trampa en uno de los últimos lugares donde debería ser posible hacerlo.

La URL (editada con «X» por seguridad) es https://givinginfo.ueh.edu.vn/.well-known/XtrackX.php

La muy deficiente seguridad del servidor web ha propiciado una intrusión (probablemente vía FTP) que permite esta instalación criminal que es el embudo hacia el desastre que se extiende en forma de mensajes por todo el mundo con intentos de suplantación de DHL y otras empresas de mansajería como Fedex o SEUR y entidades bancarias de carácter global como BBVA o Banco Santander.

Literal del mensaje su envío aún está pendiente de instrucciones

Estimado cliente,
Nos estamos comunicando con usted acerca de su paquete 00532***1274 .
Tu equipajellegó a nuestro centro hoy y está listo para su envío.
Utilice el enlace a continuación para rastrear y confirmar su dirección de envío, se pueden agregar algunas tarifas para recibir su paquete la próxima semana
Rastrear y confirmar
Gracias.

¿Cómo funciona este tipo de fraudes?

La mecánica suele ser siempre la misma y se trata básicamente de rondas rápidas de «tirar la piedra y correr».
Es decir que se hackea un servidor web donde se instala la web trampa (o se inyecta una página solitaria en una web legítima), esta página solitaria o doorway funciona de puerta de entrada a la trampa instalada en el mismo servidor web o bien en otro servidor comprometido.

La web o página normalmente imita el aspecto y grafismo corporativo de la empresa a la que se suplanta -para el caso el servicio DHL Express-y debemos añadir que la fidelidad de la suplantación es cada vez mayor por tanto es más fácil caer en la trampa si llegamos a acceder a la trampa siguiendo el enlace que propone el correo fraudulento.

Recursos relacionados para el caso DHL Express:

DHL Express su envío aún está pendiente de instrucciones

• Caso similar analizado por INCIBE
• Relación de intentos internacionales con el mismo patrón, en Bitdefender

Agradecemos a empresas industriales como Okatent que colaboran con Proyecto SafeTIC permitiendo mantener el sitio activo y analizar las amenazas activas para informar y concienciar a la comunidad online.