¡Hola! Mi nombre es Pablo Nevado y soy uno de los técnicos de ciberseguridad que integramos el Purple Team de Atalanta. Durante una de nuestras labores de ciberinteligencia, detecté una técnica inusual por la cual, a través de un BOT de Telegram, un grupo de ciberdelincuentes recibía los datos de un phishing dirigido a un cliente. ¿Queréis saber cómo lo identifiqué? ¡Os lo cuento!
Visión general
El phishing constaba de una página web con un panel de login fraudulento donde los usuarios (víctimas) ingresaban sus credenciales. Durante el proceso de análisis e investigación del phishing, pude identificar una técnica para recopilar los datos de las víctimas dando uso a la API de la plataforma de comunicación Telegram.
Explicación
Para seguir el rastro de los datos y ver hasta dónde llegaban, introduje unas credenciales aleatorias de prueba y fui siguiendo las peticiones que se tramitaban entre la web y el servidor. Tras enviar los datos, detecté entre las primeras cabeceras de la petición web que los datos eran enviados por el método POST a un dominio de Telegram.
Por lo visto, el grupo de ciberdelincuentes usaba la API de esta plataforma para hacer llegar los datos de las víctimas a un bot de Telegram, el cual pude identificar posteriormente, junto al ID, gracias a las cabeceras y a las respuestas del servidor.
La diferencia de esta web fraudulenta con otras es que los datos no se almacenan en el propio servidor, en una base de datos o similar, sino que aprovechan una API externa para hacer más cómoda la recogida de los datos robados.
Solicitud
- Formato de envío de datos con la API de Telegram.
- Datos de las víctimas.
Respuesta
- Username de Telegram: galffuyubot
- First Name de Telegram: galfhardcore
- ID: 5570450591
Identificación del bot
Habiendo identificado el ID de usuario y el nombre del bot de Telegram solo quedaba verificar que esta cuenta existía.
- Username de Telegram: galffuyubot
- First Name de Telegram: galfhardcore
- ID: 5570450591
Seguimiento de los datos
- Usuario: el usuario ingresa las credenciales pensando que el sitio web es confiable.
- Login del phishing: los datos del cliente viajan mediante la API de Telegram.
- Bot de Telegram: recibe los datos de los usuarios.
Y así es cómo, realizando una de las labores de ciberinteligencia habituales en el Purple Team de Atalanta, detecté esta técnica inusual, que ahora ya conocéis. ¡Espero que os haya resultado interesante este descubrimiento!