Ashley Madison, ¿por qué tienes nuestros honeypots en tu web?

Ryan Flores (Threat Research Manager)

Ella tiene 33 años, es de Los Ángeles, mide 1´80, es sexy, agresiva y una «sabe lo que quiere», según su perfil. Intrigante. Sin embargo, su intriga no termina ahí: su dirección de correo electrónico es uno de los honeypots de correo electrónico de Trend Micro. Espera, ¿qué?

Así fue como nos enteramos de que los usuarios de Ashley Madison estaban siendo extorsionados online. En la búsqueda de archivos filtrados, se identificaron varias docenas de perfiles en el controvertido site que utilizaban direcciones de correo electrónico que pertenecieron a honeypots de Trend Micro. Los perfiles en sí eran bastante completos: todos los campos obligatorios como sexo, peso, altura, color de ojos, color de pelo, tipo de complexión, estado civil, y las preferencias de citas estaban allí. El país y la ciudad especificada se ajustaba a la longitud / latitud de la información de la dirección IP. Casi la mitad (43%) de los perfiles incluso tenía un perfil escrito en la lengua materna de sus supuestos países.

Un asunto como este deja varias preguntas, que respondemos a continuación:

¿Qué es un honeypot? Los honeypots son sistemas informáticos diseñados para atraer a los atacantes. En este caso, tenemos honeypots de correo electrónico diseñados para atraer spam. Estos honeypots de correo electrónico están allí, esperando correos electrónicos de las medicamentos sospechosos, estafas de lotería, príncipes nigerianos muertos, y otro tipo de correo electrónico no deseado. Cada honeypot está diseñado para recibir, no responder, y que sin duda no se inscribe en sí en los sites de adulterio.

¿Por qué estaba tu honeypot en Ashley Madison? La respuesta más simple y directa es: alguien ha creado los perfiles en Ashley Madison utilizando las cuentas de correo electrónico honeypot.
El proceso de registro de Ashley Madison requiere una dirección de correo electrónico, pero en realidad no comprueba si la dirección de correo electrónico es válida, o si el usuario registrado es el dueño real de la dirección de correo electrónico. Una sencilla activación de la URL enviada a la dirección de correo electrónico es suficiente para verificar la propiedad de la dirección de correo electrónico, mientras que un CAPTCHA durante el proceso de registro elimina a los robots de la creación de cuentas. Ambas medidas de seguridad están ausentes en el site de Ashley Madison.

¿Quién creó las cuentas – bots automatizados o humanos? En cuanto a la base de datos filtrada, Ashley Madison registra la IP de los usuarios inscritos utilizando el campo signupip, un buen punto de partida para investigar. Así que reuní todas las direcciones IP utilizadas para registrar nuestras cuentas honeypot de correo electrónico, y comprobé si existían otras cuentas inscritas usando esas IPs.
A partir de ahí, reuní con éxito cerca de 130 cuentas que comparten la misma signupip con nuestras cuentas de correo electrónico honeypot.
Ahora, con las direcciones IP por sí solas no es suficiente, tenía que comprobar si hay signos de registro grueso, lo que significa varias cuentas inscritas desde una sola IP a través de un corto período de tiempo.

Al hacer eso, me encontré con unos cuantos grupos de interés …

1

Ejemplo 1. Perfiles creados a partir de las direcciones IP de Brasil

2

Ejemplo 2. Perfiles creados a partir de las direcciones IP de Corea
Para obtener la fecha límite en las tablas anteriores, he utilizado el campo updatedon, porque el campo createdon no contiene una fecha y hora para todos los perfiles. También he observado que, curiosamente, el createdon y updatedon de estos perfiles son en su mayoría  el mismo.
Como se puede ver, en los grupos anteriores, varios perfiles fueron creados a partir de una sola IP, con las fechas límite a pocos minutos de distancia. Por otra parte, parece que el creador es un humano, no un robot. La fecha de nacimiento (dobfield) se repite (los robots tienden a generar más fechas al azar en comparación con los humanos).
Otra pista que podemos utilizar es los nombres de usuario creados. El ejemplo 2 muestra el uso de «AVEE» como un prefijo común entre dos nombres de usuario. Hay otros perfiles en el conjunto de muestras que comparten características similares. Dos nombres de usuario, «xxsimone» y «Simonexxxx», ambos fueron registrados desde la misma IP, y ambos tienen la misma fecha de nacimiento.
Con los datos que tengo, parece que los perfiles fueron creados por los seres humanos.

Hizo Ashley Madison crear las cuentas? Tal vez, pero no directamente, es la respuesta más incriminatoria que se me ocurre.
Las IPs signup utilizadas para crear los perfiles se distribuyen en varios países y en las líneas DSL de consumo. Sin embargo, el quid de mi duda se basa en la distribución de género. Si Ashley Madison hubiese creado los perfiles falsos utilizando nuestros correos electrónicos honeypot, no deberían ser la mayoría mujeres, para que puedan utilizarlo como «ángeles»?

3

 Ejemplo 3. Distribución por sexo de los perfiles por país

 

Como se puede ver, sólo alrededor del 10% de los perfiles con direcciones honeypot es mujer.
Los perfiles también mostraron un sesgo extraño en su año de nacimiento, ya que la mayoría de los perfiles tenían una fecha de nacimiento de 1978 o 1990. Se trata de una distribución extraña y sugiere que las cuentas fueron creadas para estar en un rango de edad pre-especificado.

4

 Ejemplo 4. Años de nacimiento de los perfiles
A la vista de la fuga más reciente de Ashley Madison parece q participó activamente en el out sourcing de la creación de perfiles falsos para penetrar en otros países, la distribución por países de los perfiles falsos y el sesgo hacia un determinado perfil de edad sugiere que nuestras cuentas honeypot de correo electrónico pueden han sido utilizados por los creadores del perfil de trabajo para Ashley Madison.

Si no fue Ashley Madison, quién creó estos perfiles? Retrocedamos por un momento. ¿Hay algún otro grupo que se beneficiaría de la creación de perfiles falsos en un site de citas / relaciones como Ashley Madison? La respuesta es bastante simple: foros y comentarios de spammers.
Estos spammers son conocidos por crear perfiles de sitios web y contaminar las discusiones del foro y entradas del blog con comentarios spam. Los más avanzados son capaces de enviar mensajes directos spam. Al ver que Ashley Madison no implementa medidas de seguridad, tales como el correo electrónico de activación de cuenta y de CAPTCHA para protegerse de estos spammers, deja la posibilidad de que al menos algunos de los perfiles fueron creados por estos spambots.

¿Qué significan los resultados? ¿Debe preocuparse? Supongamos que nunca conscientemente se inscribió en un sitio como Ashley Madison. Debería estar a salvo de todo esto ¿no?
Bueno, no. Muchos de estos perfiles falsos fueron creados usando cuentas de correo electrónico válidas, es decir, direcciones de correo electrónico que pertenecen a una persona real, no a un honeypot. Esas direcciones de correo electrónico eran conocidas por los spam y creadores de perfiles porque estaban incluidos en una larga lista de repositorios de direcciones de correo electrónico spammers (así es como nuestro honeypot correo electrónico tiene un perfil de Ashley Madison).
Por lo tanto, si su dirección de correo electrónico está en algún lugar en el World Wide Web, si aparece en un sitio web o en su perfil de Facebook, tu dirección de correo electrónico está en riesgo de ser raspada y se incluirán en una lista que está disponible tanto para correo electrónico y tradicional Sitio web spammers … que luego le hacen en riesgo de tener una cuenta creada en su nombre en sitios como Ashley Madison.

Con toda la controversia en torno al hackeo de Ashley Madison, la posterior exposición de «miembros» y los intentos de blackmail, si mantiene su dirección de correo electrónico oculta al público no sólo evitará la molestia de recibir correos electrónicos de los príncipes nigerianos, sino también situaciones desagradables como esta.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.