Hackeando de vuelta a los estafadores del SMS de USPS

 (blog.smithsecurity.biz)
4 puntos por GN⁺ 2024-08-10 | 3 comentarios | Compartir por WhatsApp
  • Recibió un mensaje de texto fraudulento desde un número aleatorio: "Tu paquete de USPS llegó, pero no puede entregarse por un error en la dirección. Haz clic en el enlace de abajo para verificar la dirección..."
  • Se dio cuenta de inmediato de que era una estafa, pero otras personas podrían caer; su esposa también cayó hace unos meses
  • Al compartirlo en un canal en línea, alguien (a quien llama S1n) decidió vengarse de los estafadores

Investigación inicial

  • Mediante un escaneo con nmap, identificó más dominios y regiones que estaban usando
  • Exploró el sitio interceptando el tráfico con Burp Suite
  • El sitio incluido en el mensaje parecía ser un clon del sitio real de USPS
  • Al confirmar que usaban la misma IP, quedó seguro de que eran estafadores

Comunicación por WebSocket

  • A través de la comunicación por WebSocket, enviaba nombres de archivos y recibía su contenido de vuelta
  • Esto derivó en una vulnerabilidad de inclusión de archivos locales (LFI)
  • Con el LFI obtuvo más información sobre el entorno

Análisis de archivos PHP

  • Obtuvo todos los archivos PHP del sitio de estafa
  • Los archivos estaban muy ofuscados e incluían caracteres chinos
  • Se comunicaban mediante un canal de Telegram y almacenaban datos en un servidor MySQL

Recolección de más información

  • Identificó la IP configurada mediante los logs de acceso de nginx
  • Con base en la información del certificado y la IP, estimó que se trataba de estafadores chinos

Inyección SQL

  • Provocó un error usando una comilla simple en un parámetro POST
  • Usó SQLMap para acceder a la base de datos de los estafadores
  • Exploró el interior de la base de datos y confirmó información sobre los estafadores

Exploración de la base de datos

  • En la tabla admin confirmó la información administrativa de los estafadores
  • En la tabla config confirmó la información de configuración del sitio
  • En la tabla userinfo confirmó información detallada de las víctimas; había 3818 personas registradas
  • En la tabla records confirmó información de seguimiento de los visitantes del sitio

Cierre

  • S1n no dijo cómo manejaría toda esta evidencia, pero probablemente la entregará al centro de delitos en internet para cerrar el sitio y hacer que enfrenten a la justicia

Lecturas relacionadas

3 comentarios

 
xguru 2024-08-11

Acá también hay muchos mensajes de spam que envían URLs así de raras; ¿será posible aplicarlo igual si probamos con esos?
 
tempus 2024-08-12

Según la ley nacional, incluso atacar servidores en el extranjero puede generar problemas legales.
Tengo entendido que, al menos públicamente, solo se permitía de forma muy limitada.
 
GN⁺ 2024-08-10
Opiniones de Hacker News

  • NanoBaiter: En YouTube atrae a los estafadores y hackea sus sistemas para entorpecer sus operaciones

    • Identifica a los estafadores, los denuncia ante la policía e intenta conseguir reembolsos para las víctimas
    • Procesa reembolsos para las víctimas mediante una cuenta de Stripe y capta en CCTV escenas de redadas policiales

  • La sal de la contraseña cifrada: se usa wangduoyu666!.+-

    • Se encontraron nombres de usuario similares como wangduoyu666, wangduoyu8 y wdy666666
    • Es posible encontrar cuentas en GitHub, LinkedIn y otros sitios mediante una búsqueda en Google
    • En Telegram usa un nombre falso y suplanta el nombre de un cantante chino
    • También usa nombres similares en una cuenta de respaldo de Telegram
    • En su canal de YouTube hay muchos videos que explican cómo evadir el firewall de China

  • Educación en ética tecnológica: un estudiante chino de ciencias de la computación está usando las habilidades que aprendió para generar ingresos extra

    • Se enfatiza la necesidad de educación en ética tecnológica
    • Se señala que se enseñan tecnologías poderosas, pero falta formación en ética

  • Red Smishing Triad: envía hasta 100 mil mensajes de texto fraudulentos al día a todo el mundo

    • Las estafas por iMessage usan e2ee, pero las estafas por SMS deberían poder detectarse
    • Se menciona la necesidad de contar con fuerzas del orden capaces de enfrentar eficazmente el cibercrimen
    • Se argumenta que EE. UU. necesita una versión Blue Team de la NSA

  • Hackear a ciberdelincuentes: se pregunta si hackear a ciberdelincuentes puede ser castigado legalmente

    • Se describe como una situación similar a entrar en la casa de un ladrón para recuperar lo robado

  • Cómo ignorar a hackers y estafadores: se aprende que lo mejor es ignorar a hackers y estafadores

    • Pueden lanzar represalias fuertes y de verdad ser peligrosos
    • Se menciona el caso de un amigo que hackeó a un spammer y luego su servidor fue atacado

  • Necesidad de una nueva infraestructura de llamadas/mensajes: se enfatiza la necesidad de una infraestructura que evite la suplantación de números y filtre intentos de estafa

  • Cláusula de excepción de la CFAA: se argumenta que hace falta una cláusula de excepción en la CFAA para este tipo de situaciones