Correo de estafa enviado desde la Fundacion de Bill y Melinda Gates

septiembre 2, 2013 § 1 comentario

Ayer conversábamos con Adolfo (otro colaborador de Segu-Info) respecto de un correo de estafa (scam) que había recibido en su bandeja de entrada de GMail, algo para raro para nuestra experiencia pues GMail funciona muy bien con el filtrado. El texto del correo se veía así:

Pero inmediatamente luego de examinar en detalle el correo, Adolfo me muestra algo un poco sorprendente en el texto completo del correo, proviene de “Lynn.Olson@gatesfoundation.org”, el cual parece ser el remitente real:

Para asegurarnos verificamos los registros MX de gatesfoundation.org y el PTR de la IP de donde proviene el correo:

Ya no quedan dudas, el correo de estafa salió de una dirección y servidor de la fundación de Bill Gates y su esposa, la Bill & Melinda Gates Foundation.

Inmediatamente nos pusimos en contacto con la fundación para notificarlos del abuso. Nos sorprendió gratamente la respuesta a las pocas horas:

En su respuesta Dean Saxe, un analista senior de seguridad de la información, nos dice:.

Thank you for the notification.  We identified an account that was sending spam at approximately 3:45 PM PDT August 29, 2013, shortly thereafter we stopped the flow of spam from the account.  By 4:30 PM PDT we had identified the original phishing email received by our users and verified how the user’s credentials were compromised. The phishing site is no longer available on the Internet as of today and all copies of the original phishing email have been removed from our users’ mailboxes.

Gracias por la notificación. Identificamos una cuenta que estuvo enviando spam aproximadamente a las 3:45 PM PDT el 29 de agosto de 2013, poco después detuvimos el flujo de spam de esa cuenta. A las 4:30 PM EDT habíamos identificado el correo de phishing original recibido por nuestros usuarios y verificado como fueron comprometidas las credenciales del usuario. El sitio de phishing ya no está disponible hoy en Internet, y todas las copias del correo original de phishing fueron eliminadas de las casillas de nuestros usuarios.

A partir de ese phishing exitoso es que el delincuente usando las credenciales robadas, hizo uso ilegal del correo de ese usuario de la fundación, para sus propios fines.

Que el correo haya sido enviado desde una dirección y equipo de un usuario de la organización en cuestión explican la aparición del mismo en la bandeja de entrada de GMail, y es la táctica usada por muchos delincuentes para superar todo tipo de filtrado de correos y que lleguen a sus víctima los correos de phishing, scam y malspam (spam malicioso).

Conclusión
El caso no es técnicamente novedoso ni mucho menos elaborado, solo se destaca la institución afectada. Sirve para poner de relieve que aún organizaciones bien preparadas tecnológicamente y profesionalmente, pueden verse comprometidas por un error humano tan sencillo como el de haber sido engañados con un simple correo electrónico, un phishing.
La capacitación continua de los usuarios en temas de concientización es un elemento clave para potenciar la inversión completa en seguridad.

Raúl de la Redacción de Segu-Info

Anuncios

Spam de farmacias online utiliza Google Translate para camuflar enlaces sospechosos

abril 4, 2013 § Deja un comentario

Una de las variantes de spam que ha persistido a través de los años, e incluso ha ido evolucionando para evitar ser detectado por los filtros antispam, es el de las farmacias online. No pasa una semana sin que recibamos una nueva variante ya sea aprovechando una festividad como el día de los enamorados o la Pascua que nos encontramos celebrando en estos momentos.
La mayoría de usuarios ya deberían estar precavidos acerca de este tipo de correos electrónicos, pero el continuo flujo de estos nos hace pensar que siguen siendo rentables para los ciberdelincuentes que se esconden detrás de estas falsas farmacias online. Veamos uno de los casos más recientes en llegar a nuestro laboratorio que nos llamó la atención por la redirección usada en el enlace que se nos proporciona en el cuerpo del mensaje.
Si nos fijamos, el mensaje utiliza un asunto que no se corresponde con el contenido. En el asunto se menciona la suspensión de una cuenta de Facebook mientras que en el cuerpo del mensaje se invita al usuario a comprar medicinas online. Muy probablemente se haya aprovechado el asunto de una campaña de spam anterior o no se ha querido mencionar el asunto de la farmacia para así hacer que el usuario baje la guardia y sea más propenso a pulsar el enlace.
Lo interesante en este caso es observar que el enlace apunta, no a un dominio extraño (al menos aparentemente) ni a un dominio vulnerado, si no a google.com. El motivo de apuntar a Google, y más concretamente al servicio Google Translate, es el de evitar los filtros antispam que puedan tener instalados los usuarios domésticos o las empresas ya que se trata de un dominio que no suele estar bloqueado en prácticamente ninguna red.
No obstante, este enlace encierra una trampa y es que, realmente, lo que inicialmente parece un enlace a Google Translate, es en realidad una redirección a un enlace corto del tipo bit.ly. Para entenderos, cualquier usuario puede pegar un enlace en Google Translate y decir que lo traduzca a un idioma (incluyendo el idioma original) y hacer que este servicio de Google actue como proxy. Esta técnica se ha estado usando durante años para saltarse restricciones en redes con filtrados de contenidos, controles parentales o incluso el gran cortafuegos de China, y aún hoy sigue obteniendo resultados aceptables.
Usando esta técnica los ciberdelincuentes pueden incluir cualquier tipo de enlace tras la petición a Google Translate, puesto que este servicio se encargará de redireccionar al usuario a la web que quiera el atacante. En este caso se trata de una farmacia online, convenientemente decorada con motivos de pascua, pero podría ser cualquier cosa, incluyendo un enlace desde el que se descargase malware.
Una técnica tan sencilla como esta hace que muchos sistemas antispam fallen y que el usuario confíe en el enlace proporcionado por correo al ver el dominio google.com en él. Es por ello que, si no lo hemos hecho todavía, debemos aprender a reconocer un mensaje malicioso antes de pulsar sobre cualquier enlace proporcionado, puesto que si hacemos clic sobre el mismo puede que ya sea demasiado tarde.
Nota de la redacción de Segu-Info:
Ver también:

Sobre API de Google Translate discontinuada en 2011:

Autor: Josep Albors

Fuente: Laboratorio Ontinet.com

Hacer clics para hacer dinero (para los delincuentes)

mayo 8, 2012 § Deja un comentario

¿Quién no ha dejado de comprar mercadería por Internet, solo por ser cara? ¿Que fanático de juegos online no lo ha querido tener todo? Si sigues estos pasos, va a poder comprar cualquier cosa que quiera, solo registrandose en la siguiente página y siguiendo éstos pasos, en tan solo minutos tendra dinero fácil.

¿Quién dejaría de leer éste anuncio e intentar probar? Aún conociendo todos los riesgos que existen en Internet, ver una propuesta así nos intriga y nos termina convenciendo.

Uno al principio desconfiaba, pero luego de leer un poco, terminaba cayendo en éste juego. Este, básicamente consiste en crearse una cuenta en el conocido sitio de pagos PayPal, luego generar otra cuenta en páginas en los cuales se gana dinero viendo publicidades, hacer clicks en links y promocionar el sitio entre los contactos.
Algunos de los sitios que ofrecen estos “servicios” de pago por cantidad de clics son Bux, NeoBux o AWSurveys (se omiten los enlaces).

¿Por qué en PayPal?. ¡Fácil! Porque muchos sitios de compras online, como e-Bay, MMPORG Games, o la compra de cuentas Premium aceptan pagos por ése medio y entonces es una buena oportunidad de hacer dinero, que luego se puede gastar por el mismo medio.

¿Como trabajan éstos sitios?

  1. Se crea la cuenta en PayPal y una en sitio en que “haremos el dinero”.
  2. En este sitio, se le dará al usuario cierta cantidad de publicidad para que las vea (suelen ser alrededor de 15) y luego se le ofrece la opción de compartir la web con sus contactos de correo, lo cual es un beneficio, porque el dinero que hagan ellos repitiendo el mismo proceso, se le retribuirá al usuario “base” (el que compartió la web), armando de esta forma una pirámide de pagos.
  3. Una de las condiciones que se impone al usuario, es que para visualizar las publicidades se tiene que hacer una por una, y duran alrededor de un minuto. Como ésto resulta “una pérdida de tiempo”, existen herramientas que automatizan el proceso. Esta aplicación, carga usuario y contraseña, y cada dos a tres minutos busca publicidades en las páginas y las ejecuta.
  4. Al juntar el dinero necesario, se deposita en la cuenta de PayPal.
  5. Una vez reunidos U$S75 mínimo exigido por PayPal, el usuario lo puede retirar.

Todo ésto termina siendo un círculo vicioso y se basa sólo en tenes una considerable lista de referidos (contactos) y tiempo.

Cifras

Refiriéndonos a solo un usuario, los supuestos números son los siguientes:

  1. Al dia haces 15 click y ganas= $ 0.15
  2. Si tienes 20 contactos y cada uno hace sus 15 click ganas $3.00
  3. A la semana ganarías $22.05
  4. Al mes el usuario supuestamente ganaría $88.20 y este es el anzuelo que se utiliza para lograr más usuarios.
Es importante destacar que por lo general la pirámide de participación no es completa por lo cual el usuario en realidad nunca recibirá esos montos, si bien es un buen anzuelo para los incautos.

¿Cómo se cobra el dinero (supuestamente)?

El sitio involucrado envía un mail a la cuenta de PayPal del usuario para que este guarde su dinero. Cuando el usuario decide cobrarlo, sólo tiene que seguir unos pocos pasos que se encuentran en la configuración de su cuenta.
Si bien es ajeno a los sitios de los clics, cabe destacar que muchos países de América Latina tienen inconvenientes para cobrar dinero proveniente de PayPal debido al proceso por cheques que impone este sitio.

¿Pero qué gana el sitio involucrado con todo ésto?

Los sitios lucran con el trabajo del usuario ya que sus clic le permiten cobrar por publicidad en los banners y finalmente entregan al usuario un pequeño porcentaje (uno miseros centavos). Mucha veces se refiere a éste sitio como scam, porque los cobros nunca llegan: usted pasa días mirando publicidades y haciendo clics sobre ellas, las va refiriendo a sus amigos y sumando dinero a su cuenta… Dinero que nunca llegará.

Gabriel de la Redacción de Segu-Info

¿Publico mi tesis o me dejo estafar?

abril 20, 2012 § 3 comentarios

El día de hoy he recibido un correo muy particular y curioso por tres motivos: estaba dirigido a mí específicamente (nombre y apellido), trataba sobre un tema que al parecer sólo me podía interesar a mí y, (milagrosamente) estaba escrito en un perfecto español sin errores de ortografía ni gramaticales.

A continuación dejo el correo para que evalúen uds mismos:

Estimado Cristian B:

Me comunico con Usted representando al grupo editorial internacional de textos científicos, “Editorial Académica Española”.
Consultando la base de datos de la Biblioteca de Universidad Tecnológica Nacional, encontramos una referencia a su trabajo científico sobre “Informática”.

Nuestra editorial está interesada en publicar en forma gratuita su trabajo como libro especializado de alta calidad y distribuirlo, en todo el mundo, a través de las librerías más importantes y reconocidas.

Por ello me complacería saber si tiene interés en realizar dicha publicación.

Agradeceré que incluya en su respuesta la confirmación de esta dirección de correo electrónico como medio de comunicación o que agregue una alternativa a la cual pueda enviarle información adicional en un archivo adjunto.
Esperando su respuesta, me despido de Usted muy cordialmente.


Atentamente,
Hernando Rodrigo Herrera Cobo
Departamento de Adquisiciones
Editorial Académica Española es una marca comercial de:

LAP LAMBERT Academic Publishing GmbH& Co. KG
Heinrich-Böcking-Str. 6-8
66121, Saarbrücken, Germany

Tél +49 681 3720-310
Fax +49 681 3720-3109

Email: h.cobo[at]eae-publishing .com
Web: http://www.eae-publishing .com

Registro de corte/número: Handelsregister Amtsgericht Saarbrücken HRA 10752
Número de identificación (Verkehrsnummer): 12917
Socio con responsabilidad ilimitada/Persönlich haftende Gesellschafterin: VDM Management GmbH
Registro de corte/número: Handelsregister Amtsgericht Saarbrücken HRB 18918
Los directores generales/Geschäftsführer:Thrsten Ohm (CEO),Dr. Wolfgang Philipp Müller, Esther von Krosigk

Como el tema tratado en este mensaje está íntimamente ligado a mi tesis de grado sobre seguridad de la información, el correo tiene una gran posibilidad de ser cierto pero también puede ser un fraude muy bien elaborado por lo cual he investigado y obtenido lo siguiente:

  • La editorial realmente existe
  • El sitio web de la editorial indica que se encargan de publicar texto académicos sin costo
  • Su catálogo de venta incluye texto académicos pero también textos de poca importancia, lo cual sugiera que publican “cualquier cosa”
  • Algunos textos carecen de revisión editorial, necesario en cualquier texto académico riguroso
  • El correo electrónico es enviado a cualquier persona que haya publicado algún tipo de texto en Internet, lo cual indica claramente la búsqueda genérica y automática de autores
  • Lo más importante, otras autores han recibido este correo y tras un seguimiento más pormenorizado, han concluído que al publicar con esta editorial se entrega a la misma el derecho de autoría y el autor no podrá hacer nada con el texto sin autorización previa de la editorial.

Conclusión: si bien todo parece ser legal, cualquiera que publique con esta editorial, estará entregando su derecho de autoría a cambio de la posibilidad de poder vender unos pocos ejemplares de su texto, lo cual evidentemente es un muy mal negocio. Entonces, simplemente NO responda el correo.

Cristian de la Redacción de Segu-Info

Premios de iPhone y iPad falsos te regalan una "videncia"

marzo 16, 2012 § Deja un comentario

En las últimas horas nos han reportado decenas de casos de correos electrónicos que dicen ofrecer premios de Apple tales como iMac, iPhone 4 y iPad 2. Los correos electrónicos lucen de la siguiente forma:

Como puede verse los enlaces conducen a un sitio de eMarketing y este enlace sólo es utilizado para redireccionar al usuario a otro sitio web:
http://dmds-cronista.%5BELIMINADO%5D.net/click.php?id=11c07e5f-d3bf-0326-88d8-4f61f2175886&eeid=c39ca6bb-9310-5a3b-a928-4f61f271c4f2&u=b607b219-5f1d-795e-c3f9-4dda7ec476d5
Este sitio se está utilizando de forma fraudulenta merced a la negligencia de sus administradores y el enlace redirecciona a http://www.%5BELIMINADO%5D-iphone.com.ar/. Este sitio, claramente utiliza técnicas de ingeniería social para recolectar información del usuario como nombre, apellido, correo electrónico, fecha de nacimiento, etc.

Dirección, localidad, número de teléfono:

Y además intenta que el usuario se suscriba a distintos servicios de “videncia y adivinación del futuro”:

Al finalizar el registro, se informa que se recibirá un correo electrónico con la confirmación de la inscripción, el cual luce de la siguiente manera:

Al hacer clic sobre el enlace se felicita al usuario y el proceso finaliza con la entrega de un número para el supuesto sorteo y un enlace para recibir una “videncia gratis de tu futuro”. De más está decir que se trata de un engaño y el sorteo nunca se realizará y el usuario nunca ganará nada. Nunca ingrese sus datos personales.

Cristian de la Redacción de Segu-Info

Porqué no debes ingresar tu cuenta de correo en cualquier lugar

enero 24, 2012 § Deja un comentario

Haciendo uno de los tradicionales trabajo de recolección de Phishing y spam para su análisis se me ocurrió hacer un pequeño experimento que no sorprenderá a nadie con experiencia  en los temas de spam pero que resulta informativo para aquellas personas que colocan su dirección de email en cualquier lugar, sin ponerse a pensar a quién le están dando la llave de entrada de su bandeja de entrada.

Lo que hice es sumamente sencillo y puede hacerlo cualquier de uds. Registré dos cuenta de Hotmail y luego me dirigí a uno de los cientos de sitios que dicen informarte quien te tiene bloqueado o quien no te admite en el MSN. Una vez en el sitio ingresé una de las direcciones recién creada y que nadie conocía.

Luego de 7 días, ingrese al correo que había colocado en el sitio y observé que había “cosechado” 97 emails de los cuales 91 fueron clasificados como no deseados por Hotmail y 6 ingresaron a la bandeja de entrada sin problemas. En cambio, en la dirección que no había ingresado en ningún lugar, sólo tenía un correo no deseado y que puede haber llegado porque la dirección fuera obtenida  en un proceso aleatorio, muy común entre los spammers.

Del total de correos 74 estaban en inglés y el resto en español, traducidos con traductores automáticos. Un ejemplo:

Pero quizás lo más interesante que noté es que el 100% de los correos pertenecían a casos de scam, en donde alguien me ofrecía cierta suma de dinero, un trabajo, una lotería, descuentos importantes, inversiones millonarias, créditos increíbles, premios alucinantes, etc.

En ningún caso se recibió otro tipo de correo, por lo que queda claro dos cosas:

  • Si ingresas tu correo electrónico en cualquier sitio sin considerar que del otro lado alguien registrará esa dirección para enviarte spam y estafarte, estas cometiendo un error
  • el negocio de los delincuentes de los sitios tipo “quien te admite” es vender las bases de datos de correos a estafadores profesionales ubicados en distintos lugares del mundo y que luego serán los responsable de intentar embaucar al usuario inocente.

Por lo tanto, si no quieres recibir spam, raíz de muchos otros problemas de seguridad, no ingreses tu cuenta de correo en cualquier sitio o, ten una cuenta que sólo utilices para ese objetivo y en la cual podrás recibir todo la basura que desees.

Cristian de la Redacción de Segu-Info

Padre e hija secuestrados al caer en el famoso fraude nigeriano

enero 21, 2012 § Deja un comentario

Un padre de familia de 65 años junto con su hija de unos 30, ambos surcoreanos, llegaron a Sudáfrica con la idea de recibir decenas de millones de dólares, por recibir un correo electrónico en el que se aseguraba que habían ganado un sorteo de la lotería. Sin embargo, esto era sólo un fraude y terminaron secuestrados.

Tras recibir el email, el surcoreano (cuyo nombre no fue revelado), decidió viajar acompañado de su hija a la ciudad de Johannesburgo, donde aterrizaron en el aeropuerto internacional OR Tambo, para recoger su premio. El chofer de un taxi previamente contratado los recogió, los llevó a una casa en Meadowlands, Soweto, donde fueron secuestrados junto con el conductor.

Los secuestradores pidieron a la esposa de la víctima, quien se encontraba en Corea del Sur, el rescate por $10 millones de dólares, que posteriormente fueron negociados a $120,000 dólares para que fueran depositados en una cuenta en Singapur.

En un acto de audacia el chofer del taxi logró escapar y acudir a la policía. El Servicio de Policía de Sudáfrica (SAPS por sus siglas en inglés) rescató a los cautivos, antes de que se depositara el dinero del rescate y cuatro días después de haber sido privados de su libertad. En el operativo seis sospechosos fueron detenidos, cinco de origen nigeriano y un sudafricano.

Los surcoreanos decidieron abandonar inmediatamente el país sin dar declaración alguna y sin esperarse a otorgar evidencias.
“Se negaron a declarar porque estaban traumatizados. También estaban avergonzados de la forma que los trajeron a Sudáfrica. Esto es muy común cuando las víctimas descubren haber sido engañadas”, dijo McIntosh Polela, coronel de la policía de Sudáfrica.

Este acto resultó ser un scam 419, de la ley nigeriana, como los que dicen que se ha heredado una fortuna de alguien que nunca se ha oído hablar, o que un número de lotería ha salido premiado aunque nunca se ha comprado un billete.

Fuente: bSecure

¿Dónde estoy?

Actualmente estás explorando la categoría scam en Seguridad Informática.