Cuidado con los correos basura



Una historia de intento de ataque pishing.



El día de hoy jueves por la mañana al abrir mi correo, en la carpeta spam veo un correo que según viene de Banorte, he aquí una imagen:



 

Puedo percatarme que quien ha enviado este correo pone como Nick a la empresa Banorte: Banorte por Internet, pero en realidad el remitente es esta cuenta: gumwxhae@ipitomi.com , así que por mera curiosidad quise saber que tan bien armando estaba este ataque:
Veamos:
Primero saber a dónde quieren mandarme o que quieren que descargue en mi equipo. Así que veo la url del enlace, que dicho sea de paso, también lo trabajaron muy bien, por que como etiqueta pusieron una dirección valida, aunque el enlace me manda a otra parte. Alguien puede, solo con esa etiqueta pensar que el enlace es real.
 
Si colocamos solo el mouse encima del enlace, sin darle click, en la parte inferior veremos cuál es el enlace real: 






Vemos que en realidad nos esta mandando a esta url: techylam.com.mx/css/redirect.html. No ha sacado de Banorte que fue la carnada inicial.
Si buscamos en google esta dirección, realmente pertenece a una empresa:





Por lo tanto ahora intentamos ingresar a la dirección de la empresa, usando un navegador que tenga activado plugins de bloqueo y desde un equipo que tenga antivirus actualizado. En otra entrada hablare de eso. Y pasa esto: 



Esta web ya fue atacada y contiene walware. Es decir quizas ya esta bajo el dominio de los atacantes.
Buscando por la red el tipo de amenaza es: Mal/HTMLGen-A






Así que haber ingresado a esa página, quizás se pudo descargar en nuestro equipo algún programa espía o también pudo mandarnos algún formulario en donde nos pediría nuestros datos personales, en caso de tener cuenta en Banorte (que no es mi caso jejejeje)…
Ahora tratemos de averiguar de dónde viene este ataque: 

Si vemos la cabecera del msj en gmail, veremos la IP de donde fue enviado el correo, o cuando menos cual el punto anterior antes de llegar a nuestra bandeja de entrada:





La IP es 88.211.0.38. De acuerdo whois IP esta IP es de Londres Reino Unido: 



Así que si la IP de Londres no es bot entonces el ataque viene de ahí.
Por otra parte algo muy interesante es que el dominio del correo real que utilizan también es real. Veamos




Veamos la página:
Redirección al dominio: niu-solutions.com

Así que mi conclusión es que quizás lograron obtener una cuenta o el administrador de correo de esa empresa y crearse su correo, y de ahí empezar a enviar información.
Si ese fuera el caso, casi puedo asegurarles que ni la empresa techylam.com.mx ni ipitomi.com están conscientes que son bots… 

En fin, la lección es: tengan cuidado con los correos que abren. Saludos




Comentarios

Publicar un comentario

Entradas populares de este blog

BUSCARV - Formula de Excel.

Imagen
En esta entrada, tratare de explicar el uso de la fórmula de Microsoft Excel llamada “ BUSCARV ".  Antes que nada, también quiero que sepas que este blog está hecho para personas que tiene muy poco conocimiento o experiencia en uso de Excel, por lo que intentare ser lo más específico posible. Lo que quizás para una persona que tenga experiencia sea un poco tedioso o aburrido.   1. ¿Para qué sirve? Sirve para buscar un dato concreto dentro de una hoja de Excel y devuelve otros datos asociados al mismo. La letra “V” de BUSCARV hace referencia a una búsqueda vertical, es decir, sobre una columna de datos.  2. ¿Cómo se usa? Para usar la formula BUSCARV, si o si debes tener una hoja de Excel con datos, con muchos datos. Si tiene pocos datos, es mejor hacer la búsqueda de forma manual, sin necesidad de usar formulas.  Esta es la sintaxis de la formula: =BUSCARV (valor_buscado, rango_busqueda, columna_busqueda, rango_buscar_marcador) Valor_buscado :  El valor que ...
Leer más

IMAP o POP. Que protocolo usar?

Imagen
IMAP o POP. Que protocolo usar? Explicare cuales son los protocolos que existen para leer un correo electrónico del servidor. Cuando utilizas un gestor de correo, por ejemplo Microsoft Outlook u Mozilla Thunderbird, por lo general antes de enlazar la cuenta, te pide que indiques que protocolo utilizaras. Los dos más conocidos y utilizados son IMAP y POP. Puede tener la siguiente nomenclatura: imap.tudominio.gob.mx y pop3.tudomonio.gob.mx. Una pequeña descripción de cada uno. IMAP : Internet Message Access Protocol u español protocolo de acceso a mensajes de Internet . Es un protocolo de aplicación que permite el acceso a mensajes almacenados en un servidor de correos de internet. Una de las principales características es que permite visualizar los mensajes en cualquier equipo que tenga conexión a internet sin necesidad de descargarlos del servidor. Es decir el mensaje original siempre va a estar en el servidor y se podrá lee desde cualquier equipo que llegue...
Leer más

Asociar cuenta de Zimbra en Celular

Imagen
Si eres de las personas que desean u ocupan asociar tu cuenta de correo Zimbra a tu telefono celular, seguramente este manual podra ayudarte... Lo primero es definir si ya tienes una cuenta asociada o es la primera vez que deseas asociar una cuenta. Si tu situacion fuera el primer caso, entonces ocupariamos solo actualizar datos de configuracion. Pero si fuera el segundo caso, entonces configurariamos de inicio la cuenta. Analicemos el primer caso: ya tienes asociada una cuenta a tu telefono celular y solo ocupas actualizar la configuracion. 1. - Ir a la aplicacion Email: es muy importante que NO confundas la aplicación Email con el gestor que trae tu telefono para asociar tu cuenta de Gmail: 2. - Buscamos el boton de Ajustes 3. - Quizas veamos una pantalla como esta o parecida. Click en la cuenta en cuestion  4. - Buscamos la Opcion Ajustes del Servidor  y Click en Ajuste de entrada 5. - Y actualizamos la configuración con los datos corresp...
Leer más