in

La explosión de correo electrónico fraudulento abusó de la codificación incorrecta en el sitio web del FBI – Krebs on Security


los Oficina Federal de Investigaciones (FBI) confirmó hoy que su nombre de dominio, fbi.gov y su dirección web se utilizaron para distribuir miles de correos electrónicos falsos sobre una investigación de delitos cibernéticos. Según una entrevista con la persona responsable del engaño, los mensajes de spam se enviaron mediante el abuso de un código inseguro en un portal en línea del FBI diseñado para intercambiar información con las agencias policiales estatales y locales.

El mensaje falso fue enviado a través del sistema de correo electrónico del FBI el jueves por la noche. Imagen: Spamhaus.org

A última hora de la noche del 12 de noviembre, ET recibió decenas de miles de correos electrónicos. comenzó a inundar de la dirección del FBI eims@ic.fbi.gov, advierte sobre ciberataques falsos. Aproximadamente en ese momento, KrebsOnSecurity recibió un mensaje de la misma dirección de correo electrónico.

«Hola es Pompompurin«Lee la carta. “Revise los encabezados de este correo electrónico que en realidad provino del servidor del FBI. Me comunico con usted hoy porque encontramos una botnet alojada en su frente. Por favor, actúe de inmediato, gracias «.

Una mirada atrás a los encabezados de los mensajes del correo electrónico declaró que en realidad fue enviado por el FBI desde la propia dirección de Internet de la agencia. El dominio en la parte «de:» del correo electrónico que recibí, eims@ic.fbi.gov, es el mismo que el del FBI Servicios de información sobre justicia penal Departamento (CJIS).

Según el Departamento de Justicia, el CJIS administra y opera varios sistemas nacionales de información criminal que son utilizados por la seguridad pública con fines tanto criminales como civiles. Los sistemas de CJIS están disponibles para el sistema de justicia penal, incluidas las fuerzas del orden, las prisiones, los fiscales, los tribunales y los servicios de libertad condicional y antes del juicio «.

En respuesta a una solicitud de comentarios, el FBI confirmó los mensajes no autorizados, pero se negó a ofrecer más información.

«El FBI y la CISA [the Cybersecurity and Infrastructure Security Agency] saber sobre el incidente de esta mañana con correos electrónicos falsos de una cuenta de correo electrónico @ ic.fbi.gov ”, dijo el comunicado del FBI. “Esta es una situación en curso y no podemos proporcionar ninguna información adicional en este momento. El hardware afectado se desconectó rápidamente después de que se descubrió el problema. Continuamos alentando al público a tener cuidado con los remitentes desconocidos y lo instamos a que informe cualquier actividad sospechosa en www.ic3.gov o www.cisa.gov «.

En una entrevista con KrebsOnSecurity, Pompompurin dijo que el hack se llevó a cabo para identificar una vulnerabilidad evidente en el sistema del FBI.

«Podría haber usado ese 1000% para enviar correos electrónicos de apariencia más seria, atraer a las empresas para que transfieran datos, etc.», dijo Pompompurin. «Y esto nunca lo habría encontrado nadie que lo hubiera revelado responsablemente, según el aviso de las autoridades federales en su sitio web».

Pompompurin dice que el acceso ilegal al sistema de correo electrónico del FBI comenzó con una investigación sobre su Portal corporativo para agencias de aplicación de la ley (LEEP), que describe la Oficina como «una puerta de entrada a la que los organismos encargados de hacer cumplir la ley, los grupos de inteligencia y los organismos de justicia penal acceden a recursos útiles».

Portal empresarial de aplicación de la ley del FBI (LEEP).

“¡Estos recursos fortalecerán el desarrollo de casos para los investigadores, mejorarán el intercambio de información entre las autoridades y serán accesibles en una ubicación central!” Entusiasma el sitio web del FBI.

Hasta esta mañana, el portal LEEP permitía a cualquier persona solicitar una cuenta. Las instrucciones paso a paso para registrar una nueva cuenta en el portal LEEP en el sitio web del DOJ también son útiles. [It should be noted that “Step 1” in those instructions is to visit the site in Microsoft’s Internet Explorer, an outdated web browser that even Microsoft no longer encourages people to use for security reasons.]

Gran parte de este proceso implica completar formularios con la información personal y de contacto del solicitante y su organización. Un paso importante en este proceso es que los solicitantes reciben una confirmación por correo electrónico de eims@ic.fbi.gov con un código de acceso de un solo uso, supuestamente para confirmar que el solicitante puede recibir correos electrónicos en el dominio en cuestión.

Pero según Pompompurin, el propio sitio web del FBI filtró este código de acceso único en el HTML del sitio web.

Una captura de pantalla compartida por Pompompurin. Imagen: KrebOnSecurity.com

Pompompurin dijo que podían enviarse un correo electrónico a ellos mismos desde eims@ic.fbi.gov editando la solicitud enviada a su navegador y cambiando el texto en los campos «Asunto» y «Cuerpo» del mensaje.

Un correo electrónico de prueba a través del sistema de comunicaciones del FBI que Pompompurin envió a una dirección desechable.

«Básicamente, si ha solicitado el código de confirmación [it] se generó en el lado del cliente y luego se le envió a través de una solicitud POST ”, dijo Pompompurin. «Esta solicitud de publicación contiene los parámetros para el asunto del correo electrónico y el contenido del cuerpo del mensaje».

Pompompurin dijo que un script simple reemplazó estos parámetros con su propio asunto y cuerpo del mensaje y automatizó el envío del engaño a miles de direcciones de correo electrónico.

Una captura de pantalla de Pompompurin que dice que muestra cómo podría usar el sistema de correo electrónico del FBI para enviar un engaño.

«No hace falta decir que esto es terrible en cualquier sitio web», dijo Pompompurin. «Lo he visto un par de veces, pero nunca en un sitio web del gobierno, y mucho menos en uno administrado por el FBI».

Como podemos ver en la primera captura de pantalla en la parte superior de esta historia, el engaño de Pompompurin es un intento de obtener el nombre de. manchar Vinny Troy, el fundador de la empresa de inteligencia de la web oscura León de la noche y Byte de sombra.

«Los miembros de la comunidad de piratería de RaidForums han tenido una disputa de larga data con Troy y, a menudo, desfiguran los sitios web y llevan a cabo pequeños ataques en los que culpan al investigador de seguridad». Ionut Illascu escribió para BleepingComputadora. «Vinny Troia está tuiteando sobre esta campaña de spam indicado conocido por alguien como ‘Pompompurin, ‘como el probable autor del ataque. Troia dice que la persona ha sido vinculada a incidentes en el pasado destinados a dañar la reputación del investigador de seguridad «.

El trabajo de Troia como investigador de seguridad fue el tema de un artículo de 2018 titulado «Si los investigadores de seguridad se hacen pasar por ciberdelincuentes, ¿quién puede saber la diferencia?»



What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

¿Advertencia del DHS sobre piratas informáticos en su red? ¡Sin pánico! – Pura seguridad

ChopChop es una CLI que ayuda a los desarrolladores a escanear puntos finales e identificar servicios / archivos / carpetas confidenciales