Recientemente encontré un post muy interesante sobre una página web falsa que está siendo utilizada para estafar personas renovando pasaportes mexicanos. Ya que justo me dedico a investigar temas de ciberseguridad, se me ocurrió tomar unos minutos para buscar qué más podía encontrar sobre la infraestructura utilizada para el ataque.
Desde hace uno o dos años han sido publicadas notas periodísticas y alertas de gobierno con respecto a este tipo de ataques. Sin embargo, no encontré ninguna publicación que explicara los métodos del atacante. Aprovechando la oportunidad, escribí este post rápido, investigando más a fondo una campaña de fraude que hemos observado desde finales de 2020.
Partiendo de un solo dominio (spoiler alert), encontré más de 80 páginas aparentemente generadas por el mismo actor. Además, la mayoría de ellas siguen activas, lo cual indica que muy probablemente siguen habiendo víctimas día a día.
Como última aclaración antes de mostrar mi investigación, resalto que esta publicación no tiene voz oficial ni refleja la postura de ninguna compañía. Es solamente un ejercicio personal para compartir algo de lo que hacemos en mi comunidad. Ahora, vamos a mostrar el trasfondo de este crimen.
Los hechos
El 8 de enero de 2021 vi por primera vez en redes sociales la publicación describiendo el fraude. De acuerdo con este post, la víctima, buscando renovar su pasaporte, envió un pago por medio de la página citapasaportegobmx[.]com. En la nota se aclara que el dominio real del gobierno es .gob.mx en vez de gobmx[.]com, pero claro, ya que es difícil notar estas sutilezas es fácil equivocarse y pensar que la página falsa es oficial.
Figura 1. Post describiendo el fraude
Este tipo de ataque es muy común, se le conoce como typosquatting (y otros derivados). El término original se refiere a individuos registrando dominios semejantes a los utilizados por páginas web oficiales para lograr que un individuo las visite sin notar que son distintas. Por ejemplo, algo que veremos más tarde es que este grupo o individuo ha creado más dominios con distintas combinaciones como “pasaprote” en vez de “pasaporte”.
Los sitios creados por el atacante buscan ser muy semejantes a la página real para engañar al usuario. Aunque claro, a veces quedan algunos errores. Así lo demuestran las imágenes de la página falsa.
1. Nada es para siempre (fuera de las licencias para conducir de la Ciudad de México del 2010). No existen pasaportes permanentes.
Figura 2. Selecciona el tipo de pasaporte
2. La soberana “Delegacipon” Yucatán.
Figura 3. Delegacipon Yucatán
Como en cualquier otro ataque de ingeniería social, los criminales saben cómo aprovechar la alta demanda de los usuarios por acceder a contenidos o servicios sobre temas importantes. Así como lo vemos con los pasaportes, existen miles de páginas semejantes que engañan diariamente a usuarios utilizando otros temas como salud, vacantes de trabajo o servicios bancarios.
Investigando el ataque
Mi primer paso, después de dar con el sitio y la fecha, fue analizarlo en una plataforma reconocida para el análisis de archivos y sitios maliciosos. De acuerdo con el análisis automatizado de decenas de proveedores de servicios de ciberseguridad, nuestro sitio no tiene malware y es visitable (al menos por ahora). Aparentemente se trata únicamente de fraude y nada indica que exista un actor con mayores capacidades técnicas. Únicamente alguien creando copias de páginas web comúnmente visitadas.
Algo más que encontré es que el sitio web de fraude resuelve a la dirección IP 3.22.172.66. Esta dirección nos sirve para saber dónde está ubicado el sitio e investigar qué otros sitios se encuentran en el mismo lugar. Utilizando un par de herramientas, encontré una lista de más de 20 sitios que han resuelto a la misma dirección IP entre octubre de 2020 y enero de 2021. ¿Notan algún patrón?
Figura 4. Sitios relacionados con citapasaportegobmx[.]com
Todas estas direcciones no sólo se encuentran (o se encontraron en algún punto) hospedadas en el mismo lugar, sino que también tienen temas en común. Todos estos dominios describen modificaciones en torno al tema de pasaportes, México, citas y el registro civil.
Haciendo uso de otra herramienta pude corroborar que varios de los sitios resuelven a los mismos contenidos, es decir, que si visitamos cualquiera de estas direcciones podríamos ser víctimas de fraude, pues todos los caminos llevan a Roma. Esto no sólo aumenta la probabilidad de que el creador encuentre víctimas, sino que también incrementa el número de páginas que están relacionadas, resultando en mayores probabilidades de que el buscador de Google las muestra como opciones prioritarias.
Aún hay más
Resulta que 17 de los sitios resuelven en la misma dirección IP, pero haciendo un mapa de esta dirección y su relación con el registrocivil-enlinea[.]net, podemos aprender más sobre la infraestructura utilizada por el atacante. Así pues, este grupo no comenzó su actividad en noviembre, sino desde al menos marzo de 2020, cuando registraron sus primeras páginas con temas sobre registro civil, buró de crédito y actas. Más tarde, a finales de 2020, surgieron los nuevos sitios para fraude de pasaportes que siguen activos al día de hoy.
Demos un paso atrás y déjenme explicarles cómo encontré esto.
Figura 5. Mapa de relaciones entre sitios e infraestructura
En términos generales, el diagrama explica lo siguiente:
- Del lado izquierdo vemos nuestra dirección IP inicial respondiendo a los sitios que mencioné en la sección anterior.
- La página de registro civil se encuentra relacionada con nuestra IP inicial y, por lo tanto, con nuestra página de fraudes para aplicaciones de pasaporte mexicano.
- En el camino entre ambas páginas encontramos tres banderitas de Estados Unidos. Estas son tres direcciones IP más que contienen sitios adicionales y que se encuentran relacionadas con nuestra dirección IP inicial y con la página espuria de registro civil.
- En una de estas direcciones adicionales encontramos 53 sitios más con los mismos patrones de contenido.
De este modo, al sumar los sitios que encontré y duplicarlos, encontré un total de 89 casos únicos que están muy probablemente relacionados. ¿Cómo puedo saberlo? La verdad, no puedo tener completa certeza, pero demuestro mi conclusión con evidencia:
- Los dominios ubicados en las cuatro direcciones IP están relacionados a trámites mexicanos, utilizando distintas configuraciones y posibles errores de dedo.
- Los dominios que se registraron a inicio de 2020 se refieren al registro civil, actas y buró de crédito. Más tarde se registraron varios sitios enfocados en pasaportes.
- Existen algunas consistencias en los registros de los dominios, por ejemplo en varios casos se usaron servicios como namecheap.com o de akky.mx.
- La mayoría de los sitios cuentan con certificados para verificar la identidad de la página web. Si bien todos los certificados normalmente son para mantener al usuario seguro, todo depende de quién es la autoridad que certifica la página. En este caso, los dueños utilizan primordialmente los servicios de “Let’s Encrypt”, que es gratis y abierto, y, por lo tanto, útil tanto para sitios legítimos como espurios.
Figura 6. Lista de dominios relacionados
El ejemplo que vimos aquí demuestra cómo con un poco de investigación con fuentes abiertas es posible encontrar bastante información con respecto a la actividad maliciosa de este tipo de criminales. Si bien esto es muy entretenido y útil, existen límites. Pasar de la investigación a los hechos requeriría de más recursos y ya recae en las autoridades.
Con este ejemplo quería además demostrar no solo el lado entretenido de jugar al detective, sino los retos y oportunidades que nos presenta la tecnología en materia de ciberseguridad. Siendo un caso tan simple, los profesionistas en el campo tenemos que ser muy creativos para encontrar información sobre ataques a la vez que lidiamos con los límites puestos por la industria para salvaguardar la privacidad de los usuarios. Como todo en la vida, este tipo de estructuras tiene pros y contras, ya que protege la información de buenas personas, pero también los actos maliciosos de criminales.
Por último, quisiera mandar mi más sincero pésame a las víctimas de este fraude, ya que desafortunadamente es poco probable que vayan a recuperar su dinero. Este tipo de crimen se encuentra en aumento y lo mejor que podemos hacer es tomar una postura activa, no reactiva. Es decir, aprender sobre el tema para ayudar a los nuestros a que aprendan las medidas a seguir para utilizar servicios en línea del modo más seguro posible.
Con información del blog de Daniel Kapellmann: https://www.kapell.tech