Campaña navideña de robo de contraseñas
En estos días tan señalados, y como
viene siendo habitual, proliferan las campañas realizadas a través de
correo electrónico, con temática navideña, con la intención de vender
Viagra, distribuir malware o intentar robar contraseñas de correo. Estos
días he recibido varios correos de mis contactos para que visitara una
postal navideña de un usuario anónimo, en nombre de Correos.
Está
claro que no tiene buena pinta, y si seguimos el enlace nos encontramos
con una pantalla de login, donde debemos meter nuestra contraseña de
correo para, supuestamente, ver nuestra postal. Este login aparece en
primer plano, mientras que de fondo se carga la página legítima de
Correos para parecer más real y verídico.
Nuestra cuenta de correo se pasa como parámetro al pulsar el enlace y está codificada en Base64:
Lo
curioso es que el servidor lleva un registro de las cuentas válidas y
no muestra el login siempre, sino que debe ser una cuenta a la que se
haya enviado anteriormente el correo. En caso contrario muestra un
error:
El
objetivo de esta campaña parece claro, y no es otro que el robo de
contraseñas de correo electrónico. Se trata de una cadena, en la que
cuando suministras una contraseña correcta de correo, se registra y se
buscan los contactos de esa cuenta para enviarles a su vez el mismo
correo. La finalidad de esta recolección puede ir desde la venta de esta
información en el mercado underground al uso de las cuentas para el
envío de SPAM u otras campañas similares, por lo que se recomienda el
cambio de la contraseña si se ha llegado a introducir en esta página
fraudulenta.
También es
destacable la firma y el contenido del correo. Se firma en nombre de una
persona que realmente existe y está relacionada con el mundo del
Marketing, como indica la firma del correo fraudulento. Si echamos un
vistazo a la página web de la empresa para la que trabaja, vemos que se
pueden enviar regalos navideños, y si nos fijamos en su texto
promocional, éste coincide exactamente con el texto que se incluye en el
correo electrónico. Por lo menos parece que los delincuentes se han
molestado en usar identidades y textos reales para realizar esta
campaña, dotándola de mayor realismo de cara a obtener el mayor número
de contraseñas posibles.
El
dominio se creó el 12 de diciembre (hace 15 días) y la IP a la que
resuelve pertenece a un bloque de direcciones localizadas en China.
Como ya he comentado, es necesario que en estas fechas se esté más atento si cabe a este tipo de correos, evitando cualquier tipo de interacción con los servidores maliciosos. ¡Felices fiestas a todos! pero sin olvidarse de la seguridad... ;)
http://blog.s21sec.com/
No hay comentarios:
Publicar un comentario