Seguro que si pregunto lo qué es un phishing, me diréis que es un tipo de engaño que trata de robar las credenciales de un usuario mediante una web que suplanta a la real, de este modo cuando la victima introduzca sus contraseñas en la web maliciosa se las robarán. Normalmente, los phishing se utilizan para robar contraseñas de entidades bancarias, redes sociales o correos electrónicos. Otro termino similar es el “smishing”, que es muy similar al phishing, pero que en este caso el engaño nos llega a través de un SMS que nos incita a acceder a un sitio malicioso desde nuestro smartphone.
Pero en el artículo de hoy vamos a hablar de algo parecido: el “vishing”, esta es una técnica de ingeniería social que mediante una llamada telefónica busca engañar a su victimas haciéndolas creer que las están llamando desde un teléfono oficial de una empresa, cuando en realidad es todo un engaño. Los cibercriminales con esta técnica maliciosa son capaces de hacerse pasar por una empresa y engañar a su victima para que revele datos confidenciales como sus contraseñas de la banca online o se instalen algún tipo de malware. Existen dos grandes modus operandi que utilizan esta técnica, el primer es la conocida como “Estafa de Microsoft”, en la que un cibercriminal mediante una llamada telefónica se hace pasar por un trabajador de Microsoft y con la escusa de haber detectado una malware en nuestro ordenador, nos incita a instalar de forma remota un supuesto antivirus que en realidad es el propio malware. El otro caso se da cuando el cibercriminal se hace pasar por un trabajador de una entidad bancaria, para lograr que la victima le indique el número de su tarjeta bancaria, las contraseñas de la banca online o el SMS con pin del 2FA que le llegará durante el proceso de estafa.
Pero… – ¿Qué tiene de interesante este tipo de estafas desde el punto de vista cyber?. – La clave es que para lograr el engaño, los cibercriminales consiguen modificar el número de teléfono que aparece en la pantalla del móvil de la victima por el de la entidad o empresa a la que están suplantando, de este forma pueden engañar más fácilmente a sus victimas. – ¿Y que clase de brujería es esta?. – Bueno, no voy a entrar a explicar muy en detalle como lo hacen los cibercriminales, ya que no es el objetivo de GLIDER.es 😉 . Básicamente, el procedimiento es desplegar en un servidor propio una centralita de VoIP como por ejemplo Asterisk, darla de alta en un SIP Trunking y luego en el propio Asterisk modificar la configuración del Caller ID para utilizar el identificador de llamadas de la empresa a la que se va a suplantar, es decir, el objetivo de todo esto es que en la pantalla del teléfono al que llamamos aparezca el número de teléfono de la empresa que estamos suplantando en vez del real.
Antes de explicar que son todas esas siglas que he escrito en el párrafo anterior, os voy a poner un ejemplo para que se pueda entender mas fácilmente el “truco” del spoofing en el número de teléfono, también conocido como vishing. El ejemplo es el siguiente: imaginaos que vamos a enviar una carta postal, las de toda la vida, en el anverso escribimos los datos del destinatario de la carta, en el reverso escribiremos la dirección del remitente, es decir, nuestra dirección ya que somos quien enviamos la carta. Pero. – ¿Hay algún problema si en el remitente escribimos la dirección de otra persona?. – La realidad es que no, la carta llegará a su destino sin ningún tipo de complicación, cuando el destinatario mire el remitente creerá que la carta se la ha enviado esa persona, cuando en realidad ha podido ser cualquier otra, esto ocurre al no comprobar por parte de Correos la identidad real del remitente. Exactamente esto es lo que ocurre con el Caller ID en una llamada de VoIP. Es posible modificar maliciosamente el identificador de llamada del remitente/llamante para hacerse pasar por cualquiera otro llamante legitimo, ya que el sistema de tránsito de llamadas no comprueba la veracidad del CallerID (existen proyectos que están trabajando en la implementación de un sistema que si lo compruebe a nivel global). En el caso del smishing funciona exactamente igual, la única diferencia es que en vez de generarse una llamada maliciosa de voz, se envía un mensaje de texto con un remitente suplantado.
Aunque en la teoría modificar el Caller ID pueda parecer un proceso sencillo, en la vida real no es tan fácil, ya que además de tener que disponer de un servidor propio de VoIP en el que se pueda modificar el Caller ID, es necesario encontrar un SIP Trunking que permita enrutar llamadas salientes sin comprobar que provienen de su titular legitimo y esto no es tan sencillo.
Vamos ahora a por unas cuantas definiciones básicas que serán de utilidad para entender todo esto del spoofing via VoIP (Voz mediante IP).
- Caller ID: Es el identificador del llamante, se trata de un dato que se trasmite junto con la llamada en sí para informar al destinatario quien lo está llamando. Este dato es la clave de todo el engaño, si se consigue realizar una modificación de este parámetro, se podrán realizar llamadas suplantando cualquier número de teléfono real.
- SIP Trunking y Proveedor SIP: Son las siglas de Session Initiation Protocol, se trata de un protocolo que permite enrutar una llamada desde la centralita de VoIP (PBX) al destinatario de la misma. Si la llamada tiene que salir fuera de la organización o empresa, será necesario contratar un proveedor SIP para que esas llamadas puedan llegar a cualquier centralita de otro destinatario a través de Internet. Un símil sería como tener un DNS local o usar un DNS global, el DNS local lo podemos administrar de forma interna en nuestros servidores sin ningún tipo de coste, mientras que el global es necesario alquilar el uso del servicio a un proveedor externo.
- SIP ID: Es un identificador que puede ser un nombre de usuario, una dirección de correo electrónico o un número único asignado a cada usuario o dispositivo. El SIP ID es esencial para el enrutamiento de las comunicaciones y asegura que las llamadas y otras sesiones se dirijan correctamente al destino deseado en una red VoIP. Este termino no lo hay que confundir con el Caller ID, ya que no son lo mismo, mientras que el SIP ID es un identificador utilizado en el protocolo SIP para enrutamiento y gestión de sesiones en una red VoIP, el Caller ID es la información que se muestra en el teléfono receptor para identificar quién está llamando.
- Asterisk: Es un software de código abierto que funciona como una centralita telefónica (PBX). Utiliza el protocolo SIP para establecer y gestionar llamadas de voz y vídeo a través de redes IP. Es uno de los sistemas mas conocidos en el mundo del VoIP, entre otras cosas gracias a que es una plataforma extensible y que permite crear servicios personalizados como IVR.
- FreePBX: Un PBX (Private Branch Exchange) es la propia centralita de llamadas en si, este sistema actúa como intermediario en las comunicaciones telefónicas internas y externas de una organización, facilitando la administración y gestión de las llamadas. En el caso de FreePBX se trata de una herramienta de código abierto que permite realizar esta tarea a nivel software sin necesidad de necesitar ningún tipo de hardware específico.
- CDR: (Call Detail Record) Es un registro detallado de la llamada telefónica que contiene datos como la duración, fecha, número de origen y destino, identificación del dispositivo, etc. Estos registros son generados automáticamente por la propia centralita que almacena toda la información en una base de datos. Normalmente estos datos tambien se guardan en el SIP Trunking en caso de tenerlo contratado.
- IVR: (Interactive Voice Response) Es el sistema automatizado que permite a los usuarios interactuar con una grabación utilizando comandos de voz o teclas numéricas en sus teléfonos. Es el típico «pulse 1 para hablar con ventas» o «pulse 2 para hablar con fábrica».
- Softphone: Es el programa que tienen que instalar los usuarios de un sistema VoIP para poder realizar llamadas desde un ordenador a través de la centralita asignada. Es similar a un teléfono virtual, con su teclado, agenda de contactos y botón de llamar y colgar. Para utilizarlos es necesario disponer de un micrófono y altavoz conectado al ordenador. Tambien existen teléfonos VoIP hardware, que serían practicamente iguales a un telefono tradicional analógico.
A nivel forense, toda la información que necesitamos estará en el servidor de VoIP desde el que se generan las llamadas maliciosas, normalmente son servidores Linux tipo VPS, desplegados en un CPD de cualquier parte del mundo, al cual el cibercriminal se conectará mediante un SSH para administrarlo de forma remota.+
Como este es un artículo especializado en el análisis forense de un servidor VoIP con Asterisk y FreePBX dedicado a realizar llamadas maliciosas tipo vishing, voy a omitir toda la parte genérica de análisis forense en la nube y análisis forense en Linux, ya que además tengo tres artículos publicados en esta misma página web en los que explico detalladamente todo el proceso para este tipo de análisis forense, puedes consultar estos artículos en los siguientes enlaces:
Aunque se trata de artículos genéricos, son ideales para entender lo básico de este tipo de sistemas y por lo tanto necesarios para realizar un análisis forense de un servidor de VoIP administrado remotamente. No hay que olvidar la importancia de los logs de acceso al SSH (VNC, RDP…) del sysadmin o cualquier otro usuario, el fichero bash_history y las direcciones IP de conexión a la red del propio VPS.
Para poder realizar este artículo sin utilizar los datos de un servidor real de una organización criminal dedicada al fraude online mediante vishing, he desplegado mi propio servidor de VoIP configurado de forma maliciosa para lograr realizar llamadas modificando el Caller ID, obviamente aunque este servidor VPS tenía que estar conectado a Internet, lo he bastionado para que nadie mas lo pudiera utilizar sin mi autorización. He utilizado la configuración típica de Asterisk en VPS más un softphone Zoiper instalado en mi ordenador desde el cual he ido realizado las llamadas maliciosas durante dos meses, de este modo pude generar todas las trazas y rastros reales que dejaría un servidor real dedicado a realizar un vishing. Sobra decir que todas las llamadas que realicé fueron en un entorno controlado y nadie fue engañado para la creación de este artículo, salvo un par de bromas que le hice a unos amigos los cuales recibieron llamadas VIP desde altos órganos del Estado, pero que cuya conducta penal fue atípica 😉
Otro problema de desplegar un servidor funcional para este tipo de análisis forenses son los costes, aunque se utilice software libre y el VPS ya esté en producción para realizar otras tareas, el proveedor SIP lo hay que contratar y pagar. No suelen ser precios muy elevados, normalmente al no contratar ningún tipo de pack o servicio anual solamente se cobran las llamadas salientes que se realizan, el precio suele ser fijo por minuto.
Hasta aquí la primera parte más teórica de este artículo, en la segunda parte ya empezaremos a desmenuzar de forma pormenorizada el funcionamiento técnico de este tipo de servidores, así como buscar los lugares en los que se guardan las trazas mas importante en un análisis de este tipo.
TO BE CONTINUED…
¿Te ha gustado este artículo? Si quieres, puedes ayudarme a escribir el siguiente artículo de GLIDER invitándonme a un rico café.
Pulsa Aquí para invitarme a un café con hielo.
Salu2.