Spam con fuerte olor a Phishing
Hace pocos días vimos dos correos que a primera vista parecían ser otro caso más de phishing.
Al examinar (en ambiente de laboratorio, no lo repita esto en su casa) el comportamiento luego de hacer clic a los vínculos del correo sospechoso, se observaron redirecciones por 3 o 4 sitios distintos, todos con mala reputación, pero que terminaron en el sitio de la marca promocionada (!). En el primer caso se trata de un banco y en el otro la Cruz Roja de España.
Las capturas de pantalla de estos dos correos son las siguientes:
Revisando el fuente HTML del correo observamos, después de la parte visible al usuario, aparecen decenas de lineas con cientos de palabras, que no son visibles para el receptor. Un intento evidente para evadir filtros anti-spam.
Al buscar antecedentes de los distintos dominios a los que fuimos redirigidos en nuestra prueba de laboratorio, nos encontramos en todos los casos con antecedentes de spam de empresas de "publicidad" que alegan hacer las cosas dentro de la ley.
Tambien buscamos a la empresa del banner "Spruce Mountain Networks" pero apenas si hay una o dos referencias de otros correos spam,
El receptor de estos mensajes en Buenos Aires nunca fue cliente del banco ni aporto fondos a la Cruz Roja de España.
Si bien no hemos podido detectar ninguna actividad claramente maliciosa, nos sorprendería mucho que alguna de estas dos instituciones hayan contratado este medio para publicitar. Consultamos a ambas instituciones al respecto. Aún no hemos recibido respuesta de ninguna de las instituciones, y no estamos seguros de recibirla. Dudamos mucho que hayan contratado ese servicio que usa esta pésima forma de hacer publicidad.
En tiempos actuales donde los esfuerzos de concientización apuntan a enseñar al usuario de Internet a no hacer clic en los vínculos de los correos sin tener recaudos, y si corresponde hacerlo, revisar a conciencia a donde apuntan los mismos, ver que la publicidad de Cruz Roja apunta a una dirección como esta:
http://commin[ELIMINADO]topped.com/t/350175/77767/NzQ4NTI5NzEzMzE3NzU=/MzUwMTc1/3V7E3S
Este tipo de vínculos en el correo, cuando so publicidades oficiales, es algo que ya hemos criticado.
Conservamos la sospecha que estos correos hayan sido un "globo de ensayo" de spammers o delincuentes, ya sea para probar efectividad de algún método en desarrollo, recopilar clicks de los destinatarios u otros.
Todo esto muestra que para los delincuentes y spammers, Internet es un campo también para pruebas y experimentación.
Es necesario mantenerse antento y no hacer clic al correo no solicitado. Los premios de bancos o donaciones a la Cruz roja, los podemos hacer escribiendo nosotros la dirección web de sus sitios, nunca haciendo clic en vínculos.
Cristian y Raúl de la Redacción de Segu-Info
Al examinar (en ambiente de laboratorio, no lo repita esto en su casa) el comportamiento luego de hacer clic a los vínculos del correo sospechoso, se observaron redirecciones por 3 o 4 sitios distintos, todos con mala reputación, pero que terminaron en el sitio de la marca promocionada (!). En el primer caso se trata de un banco y en el otro la Cruz Roja de España.
Las capturas de pantalla de estos dos correos son las siguientes:
Captura #1: Banco Banesto - spam(?)
Captura #2: Cruz Roja - spam(?)
Revisando el fuente HTML del correo observamos, después de la parte visible al usuario, aparecen decenas de lineas con cientos de palabras, que no son visibles para el receptor. Un intento evidente para evadir filtros anti-spam.
Al buscar antecedentes de los distintos dominios a los que fuimos redirigidos en nuestra prueba de laboratorio, nos encontramos en todos los casos con antecedentes de spam de empresas de "publicidad" que alegan hacer las cosas dentro de la ley.
Tambien buscamos a la empresa del banner "Spruce Mountain Networks" pero apenas si hay una o dos referencias de otros correos spam,
El receptor de estos mensajes en Buenos Aires nunca fue cliente del banco ni aporto fondos a la Cruz Roja de España.
Si bien no hemos podido detectar ninguna actividad claramente maliciosa, nos sorprendería mucho que alguna de estas dos instituciones hayan contratado este medio para publicitar. Consultamos a ambas instituciones al respecto. Aún no hemos recibido respuesta de ninguna de las instituciones, y no estamos seguros de recibirla. Dudamos mucho que hayan contratado ese servicio que usa esta pésima forma de hacer publicidad.
En tiempos actuales donde los esfuerzos de concientización apuntan a enseñar al usuario de Internet a no hacer clic en los vínculos de los correos sin tener recaudos, y si corresponde hacerlo, revisar a conciencia a donde apuntan los mismos, ver que la publicidad de Cruz Roja apunta a una dirección como esta:
http://commin[ELIMINADO]topped.com/t/350175/77767/NzQ4NTI5NzEzMzE3NzU=/MzUwMTc1/3V7E3S
Este tipo de vínculos en el correo, cuando so publicidades oficiales, es algo que ya hemos criticado.
Conservamos la sospecha que estos correos hayan sido un "globo de ensayo" de spammers o delincuentes, ya sea para probar efectividad de algún método en desarrollo, recopilar clicks de los destinatarios u otros.
Todo esto muestra que para los delincuentes y spammers, Internet es un campo también para pruebas y experimentación.
Es necesario mantenerse antento y no hacer clic al correo no solicitado. Los premios de bancos o donaciones a la Cruz roja, los podemos hacer escribiendo nosotros la dirección web de sus sitios, nunca haciendo clic en vínculos.
Cristian y Raúl de la Redacción de Segu-Info
La verdad es que cada vez usan métodos más elaborados para realizar spam. La ingenieria social en los mails son cada vez mayores.
ResponderBorrarNosotros en nuestro blog estamos tratando los mails recibidos sobre falsos empleos. Que en realidad tratan de conseguir "muleros". Dominios que al buscar en Google se confunden con portales de empleo.