Contáctanos al

1510

NOTIFICAR UN INCIDENTE

¿Cómo y cuándo reportar?
Ministerior del Interior

8FPH23-00734-01 CSIRT alerta de campaña de phishing por SMS (smishing) que suplanta a CorreosChile

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing vía mensaje de texto (SMS), técnica conocida como smishing. En esta campaña, los delincuentes indican falsamente a la víctima lo siguiente: “MENSAJE DE LA OFICINA DE CORREOS: Su pedido se guarda en el centro de importación. Solucione el problema aquí:”.

De abrir el enlace que es incluido inmediatamente después de lo indicado arriba, la persona es dirigida a un sitio falso que se hace pasar por CorreosChile, donde se expone al robo de su usuario y contraseña (credenciales).

Advertencia sobre gestión de IoC

Los patrones expresados en forma de hash de un archivo pueden ser administrados con herramientas centralizadas y distribuidas, como firewall y antimalware. Las organizaciones deben tomar resguardo de incorporar un hash que pudiere estar vinculado a un archivo o DLL válida dentro de un sistema.

Al gestionar patrones potencialmente maliciosos con nombres de host o IP, se debe considerar que la relación entre nombre FQDN e IP puede cambiar en el tiempo, y que una dirección IP específica puede estar siendo usada por un proveedor de web hosting que puede tener más de un dominio asociado a dicha IP.

En consecuencia, se recomienda tener un orden de prioridades a la hora de ejecutar un bloqueo, considerando al menos:

  • El uso de un dispositivo WAF que pueda discriminar el nombre FQDN potencialmente malicioso por sobre la IP.
  • El uso de un firewall que permita integrar listas de bloqueo FQDN sin necesitar la conversión a IP.
  • El uso de sistemas proxy que permitan bloquear el FQDN sin necesitar la conversión a IP.
  • En última instancia, incorporar el bloqueo de la IP verificando que no corresponda a un esquema de web hosting, porque existe la posibilidad de bloquear los restantes dominios implementados que utilizan la misma dirección IP.

IoC Correo Electrónico

Antes de aplicar bloqueos, tenga presente el punto sobre advertencia de gestión de IoC.

URL sitio falso:

https://smartgift[.]live/ips_cl/?cep=ADpcvY4BIMnvUrAW9fx58sqTbjRe25a7RiuOiwXC_-2Y2fTYOJmDp42E-8Htv8msrXSiDuN0bmLZZ5ZWDcUpZCeDOka_1cVJ7OpbjLvjP0UtEFc7bd71_Dhsbw-xY61uHCyLqTHq-zeqR6mUD0VfgX4b38enLC1YHiwW008epixUtQfSnEx6FvbYOTVC_miypOqhiaCoUbhLDqVUUsEQIao8IK_cS3Qy98gWLwtgINzFs2irz1qHz-oXXeTHfgSxhosxbT37OxtT-ViuXGUoYRIQe_6B2UbGjYCCsXni3mijBdhc2NdzNyt8qok7Isfw670FxHsfBDa-9i9XG4uDofRPVP_v-MuXCpEoEraN9SLZ1_eQJs6u5hQZfcehSKHb&lptoken=165974c584b3519f647c

Datos del remitente:

Asunto Correo de Salida SMTP Host
 

 

Otros antecedentes

Certificado Digital

Fecha Valido 23 Ene 2023
Fecha Término 23 abr 2023
Emitido Let’s Encrypt R3

Datos Alojamiento y Dominio 

IP [84.32.190.20]
Número de sistema autónomo (AS) IP 59642
Emitido Etiqueta del sistema autónomo IP UAB Cherry Servers
Registrador IP RIPE NCC
País IP LT
Dominio smartgift.live
Registrador Dominio https://www.namecheap.com/

Recomendaciones 

  • Los usuarios deberían procurar:
    • No abrir correos ni mensajes de dudosa procedencia.
    • Desconfiar de los enlaces y archivos en los mensajes o correo.
    • Solicitar que sus plataformas (Office, Windows, Acrobat, etc.) estén actualizadas.
    • Ser escépticos frente ofertas, promociones o premios que se ofrecen por internet.
    • Prestar atención en los detalles de los mensajes o redes sociales.
    • Solicitar que todas las plataformas de tecnologías y de detección de amenazas estén actualizadas.
    • Siempre intentar verificar que los sitios web que se visitan sean los oficiales.
    • Notificar oportunamente a sus encargados de ciberseguridad para que investiguen el incidente, comprueben si ha llegado a otros usuarios y apliquen las mitigaciones pertinentes. Algunas señales que debieran gatillar un informe inmediato:
      • Ha llegado un correo que a mi criterio es potencialmente un engaño (un correo de un banco del cual no soy cliente, un correo con un super premio, un correo con un bono del gobierno y claramente no es razonable, etc.).
      • Me contactan desde algún banco para confirmar alguna transferencia financiera que yo no he solicitado.
      • He ingresado mis credenciales en un sitio web que parecía real y me percaté después de su falsedad.
    • Los administradores deben:
      • Implementar controles anti spoofing (DKIM, SPF y DMARC).
      • Revisar la información que se expone de sus usuarios en sus sitios y sistemas web.
      • Filtrar o bloquear los correos entrantes que sean clasificados como phishing.
      • Evaluar el bloqueo preventivo de los indicadores de compromisos.
      • Revisar los controles de seguridad de los antispam y sandboxing.
      • Instruir a sus usuarios sobre el phishing y ayudarlos a reconocerlos. Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
      • Crear mecanismos amistosos para el reporte y el feedback, en un entorno donde no se busque la culpabilidad, sino que la solución.
      • Implementar 2FA.
      • Proteger a sus usuarios de sitios maliciosos usando proxy servers y manteniendo actualizados sus browsers.
      • Proteger sus dispositivos del malware.
      • Tener un protocolo de respuesta rápido ante estos incidentes.
      • Detectar rápidamente estos incidentes instando a los usuarios a que reporten rápidamente cualquier actividad sospechosa.
    • Para obtener los IOC de este informe visita el siguiente enlace:
      • https://github.com/csirtcl/Fraude/blob/main/Phishing_8FPH23-00733-01.txt

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH23-00734-01.

8FPH23-00734-01 CSIRT alerta de campaña de phishing por SMS (smishing) que suplanta a CorreosChile
Ministerior del Interior

Teatinos 92 piso 6.

Santiago, Chile

csirt.gob.cl

Síguenos en nuestras redes sociales

Infórmate sobre nuestras actividades y escríbenos directamente