TITULO Análisis Phishing Correo KBA PROBLEMA Este documento tiene por objeto documentar los siguientes incidentes reportados en Remedy:

Transcripción

1 TITULO Análisis Phishing Correo ID KBA PROBLEMA Este documento tiene por objeto documentar los siguientes incidentes reportados en Remedy: INC Posible Spam -28/08/ :10:46 ->Este incidente se reportó como correo sospechoso. Estos incidentes están asociados a un Phishing que se intentó realizar a los usuarios del ICBF y el cual buscaba que los usuarios dieran información (usuario y contraseña) de sus cuentas de correo. DESCRIPCION DEL INCIDENTE El día 30 de Abril de 2014 a las 8:09 A.M. algunos funcionarios del ICBF recibieron a través de las cuentas de correo electrónico dos mensajes de correo, en uno solicitando credenciales de Acceso y la segunda solicitaba el re direccionamiento a un sitio donde se solicitaba las credenciales:

2

3 SOLUCIÓN 28/08/2014 9:37 A.M.: Se solicita por parte de la UT el bloqueo de los siguientes dominios: 28/08/2014 9:41 A.M.: Se solicita por parte de la UT el bloqueo en el proxy del siguiente dominio para evitar que los usuarios accedan al mismo: Adicionalmente se solicita al líder de Seguridad informática del ICBF los Logs de Office 365 para determinar a qué cuentas llegaron los mensajes. 28/08/2014 2:36 P.M.: Se hace la solicitud al sitio que aloja la página de Phishing para que dé de baja el sitio. Se adjunta correo de respuesta del sitio: 29/08/2014 8:36 A.M.: Se da respuesta por parte del Administrador del sitio indicando que el sitio se dio de baja:

4

5 ANÁLISIS DE LA EVIDENCIA RECOLECTADA. La información con la cual se cuenta para hacer el presente análisis se menciona a continuación: a. Logs de Office 365 de algunas cuentas que recibieron el mensaje. b. Mensaje de correo Original que llego a las cuentas de correo. ANALISIS LOGS OFFICE 365. Se revisa el Log de los mensajes de entrada y se puede establecer que el mensaje fue entregado a 146 cuentas de correo y se envió desde las IP s y : La IP pertenecen al servicio de Correo de Microsoft y la IP y se encuentra reportada por abuso:

6

7 Validando los Logs de Salida del servicio de Office 365 se observa que no se enviaron mensajes de respuesta a los dominios que solicitaban la información. ANALISIS CABECERAS DE MENSAJES. Se analiza la cabecera del mensaje original: Received: from BLUPR05MB419.namprd05.prod.outlook.com ( ) by BN1PR05MB424.namprd05.prod.outlook.com ( ) with Microsoft SMTP Server (TLS) id via Mailbox Transport; Thu, 28 Aug :48: Received: from CO2PR05MB585.namprd05.prod.outlook.com ( ) by BLUPR05MB419.namprd05.prod.outlook.com ( ) with Microsoft SMTP Server (TLS) id ; Thu, 28 Aug :48: Received: from BY2PR05CA041.namprd05.prod.outlook.com ( ) by CO2PR05MB585.namprd05.prod.outlook.com ( ) with Microsoft SMTP Server (TLS) id ; Thu, 28 Aug :48: Received: from BL2FFO11FD016.protection.gbl (2a01:111:f400:7c09::143) by BY2PR05CA041.outlook.office365.com (2a01:111:e400:2c5f::31) with Microsoft SMTP Server (TLS) id via Frontend Transport; Thu, 28 Aug 2014

8 14:48: Received: from webmail.tjal.jus.br ( ) by BL2FFO11FD016.mail.protection.outlook.com ( ) with Microsoft SMTP Server id via Frontend Transport; Thu, 28 Aug :48: Received: from localhost (localhost.localdomain [ ]) by webmail.tjal.jus.br (Postfix) with ESMTP id AC27DFC3C61; Thu, 28 Aug :48: (BRT) Received: from webmail.tjal.jus.br ([ ]) by localhost (webmail.tjal.jus.br [ ]) (amavisd-new, port 10032) with ESMTP id iz67_ilh_sb5; Thu, 28 Aug :48: (BRT) Received: from localhost (localhost.localdomain [ ]) by webmail.tjal.jus.br (Postfix) with ESMTP id 2E28BFC3C68; Thu, 28 Aug :48: (BRT) Received: from webmail.tjal.jus.br ([ ]) by localhost (webmail.tjal.jus.br [ ]) (amavisd-new, port 10026) with ESMTP id KysUOtdFMSqs; Thu, 28 Aug :48: (BRT) Received: from webmail.tjal.jus.br (webmail.tjal.jus.br [ ]) by webmail.tjal.jus.br (Postfix) with ESMTP id D6ADBFC3C64; Thu, 28 Aug :48: (BRT) From: ICBF Subject: Estimado usuario Thread-Topic: Estimado usuario 8 Analisis Phishing Correo NOTAS TECNICAS Thread-Index: dtygggvqt431phybl7bt/m9zzkxf1w== Date: Thu, 28 Aug :48: Message-ID: < JavaMail.zimbra@tjal.jus.br> Reply-To: "webmailantivirus2020@gmail.com" <webmailantivirus2020@gmail.com> Content-Language: es-co X-MS-Has-Attach: X-MS-TNEF-Correlator: received-spf: None (protection.outlook.com: tjal.jus.br does not designate permitted sender hosts) Content-Type: multipart/alternative; boundary="_000_ javamailzimbratjaljusbr_" MIME-Version: 1.0 Se observa que el mensaje se envió el 28 Aug :48: (GMT -5-9:48:07 AM Hora Colombia) desde un servicio de correo Web webmail.tjal.jus.br ( ). CONCLUSIONES Una vez analizada todas las evidencias se puede establecer: El uso de Phishing para obtener información sobre las cuentas del ICBF no es un hecho aislado ya que hace dos meses se realizaron varios ataques de este tipo. Una vez reportado el incidente se procedió a bloquear la cuenta que envió el mensaje malicioso y se bajó la página que estaba alojada en el dominio.

9 No fue necesario el cambio de contraseñas de los usuarios ya que la mayoría reporto el incidente a través de Remedy y en la validación realizada a los logs de los mensajes de salida de Office 365 no se observaron mensajes salientes a esas cuentas. Las IP s desde las cuales se enviaron los correos no pertenecen al ICBF y están relacionadas con servicios de correo de Microsoft. 6. RECOMENDACIONES Es importante que se tenga en cuenta las siguientes recomendaciones: Afinar los filtros AntiSpam y antimalware del servicio de correo de la plataforma de Office 365 para garantizar que correos que incluya enlaces o anexos maliciosos sean filtrados al interior de la organización. Continuar con las campañas sobre temas de Spam y Phishing donde se pueda informar a los usuarios los riesgos de seguridad a los que están expuestos, como se debe manejar este tipo de correos y donde se debe reportar este tipo de casos. La solución más efectiva contra los correos maliciosos (spam, Phishing, etc.) es concientizar a los usuarios.