Español | English
rss facebook linkedin Twitter

Campaña navideña de robo de contraseñas

En estos días tan señalados, y como viene siendo habitual, proliferan las campañas realizadas a través de correo electrónico, con temática navideña, con la intención de vender Viagra, distribuir malware o intentar robar contraseñas de correo. Estos días he recibido varios correos de mis contactos para que visitara una postal navideña de un usuario anónimo, en nombre de Correos.


Está claro que no tiene buena pinta, y si seguimos el enlace nos encontramos con una pantalla de login, donde debemos meter nuestra contraseña de correo para, supuestamente, ver nuestra postal. Este login aparece en primer plano, mientras que de fondo se carga la página legítima de Correos para parecer más real y verídico.


Nuestra cuenta de correo se pasa como parámetro al pulsar el enlace y está codificada en Base64:


Lo curioso es que el servidor lleva un registro de las cuentas válidas y no muestra el login siempre, sino que debe ser una cuenta a la que se haya enviado anteriormente el correo. En caso contrario muestra un error:


El objetivo de esta campaña parece claro, y no es otro que el robo de contraseñas de correo electrónico. Se trata de una cadena, en la que cuando suministras una contraseña correcta de correo, se registra y se buscan los contactos de esa cuenta para enviarles a su vez el mismo correo. La finalidad de esta recolección puede ir desde la venta de esta información en el mercado underground al uso de las cuentas para el envío de SPAM u otras campañas similares, por lo que se recomienda el cambio de la contraseña si se ha llegado a introducir en esta página fraudulenta.

También es destacable la firma y el contenido del correo. Se firma en nombre de una persona que realmente existe y está relacionada con el mundo del Marketing, como indica la firma del correo fraudulento. Si echamos un vistazo a la página web de la empresa para la que trabaja, vemos que se pueden enviar regalos navideños, y si nos fijamos en su texto promocional, éste coincide exactamente con el texto que se incluye en el correo electrónico. Por lo menos parece que los delincuentes se han molestado en usar identidades y textos reales para realizar esta campaña, dotándola de mayor realismo de cara a obtener el mayor número de contraseñas posibles.




El dominio se creó el 12 de diciembre (hace 15 días) y la IP a la que resuelve pertenece a un bloque de direcciones localizadas en China.


Como ya he comentado, es necesario que en estas fechas se esté más atento si cabe a este tipo de correos, evitando cualquier tipo de interacción con los servidores maliciosos. ¡Felices fiestas a todos! pero sin olvidarse de la seguridad... ;)


Jose Miguel Esparza
S21sec e-crime
(Blog / Twitter)

4 comentarios:

Anónimo dijo...

Hola,
Gracias por la información. Lamentablemente no caí en la cuenta y pinché el enlace. Aunque no puse mi contraseña me llegan correos de algunas de las personas de mi lista de contactos que pone:
"This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed."
Ya les he avisado para que no lo abran y pedir disculpas. ¿Hay alguna forma de hacer que mi correo deje de enviar ese mensaje? ¿He de pasarle algún antivirus a mi ordenador (tengo un Mac)?
Gracias por tu ayuda.

Gonzalo dijo...

Yo he picado. Nunca pensé que me pudiera pasar, y piqué...
En fin llego tarde a leerlo, pero muchas gracias.

Jose Miguel Esparza dijo...

Hola,

primero, gracias por los comentarios.

@Anónimo: En principio, en el código de la página no vi nada sospechoso, por lo que simplemente con pinchar en el enlace no te podrías haber infectado. Cuando recibes el correo "This is an automatically [...]", ¿qué estabas enviando exactamente? ¿En el cuerpo del correo dice que estabas enviando el correo que menciono en mi post u otra cosa? ¿Puede ser que estuvieras infectado anteriormente? Te lo pregunto porque si, en principio, la página no infectaba (hablando de Mac hay menos probabilidades todavía), y no introdujiste la contraseña no habría razones para pensar que este ataque te haya afectado...

@Gonzalo: ¡Acuérdate de cambiar la contraseña! ;)

Un saludo!

cesar dijo...

Hola a todos! quisiera comentarles que a mi también me paso lo mismo... pero no sabia que era... ahora ya se.. muchas gracias.. pero para que roba uno las contraseñas?

GGG - recetas faciles


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login