Phishing: "Alerta Advertencia! Espacio de almacenamiento del buzon ..." roba contraseña.
Nos alertan mediante denuncias sobre correos que esá llegando a destinatarios de bancos, y organismos públicos en Argentina, que alegando un alerta de falta de espacio en el buzón de correo, lleva al robo de usuario y contraseña.
El mensaje dice lo siguiente:
Actualización 18hs: hemos procedido a comunicarnos con todos los afectados para avisarles que cambien la contraseña de inmediato. En horas publicaremos los detalles y las empresas afectadas.
Actualización 22hs: en base a los datos de los encabezados del correo que recibimos en la denuncia, podemos comprobar que el correo fue enviado desde un equipo del Poder Judicial de la Nación (pjn.gov.ar) a través de uno de los servidores de correo permitidos según el registro SPF para ese dominio.
El enlace del correo, un URL acortado con un servicio registrado hace apenas 2 meses, carga un formulario http://sun[ELIMINADO].com/forms/use/rdf/form1.html alojado en un dominio registrado hace 3 meses y corresponde a un sitio con sólo una página web sencilla.
Ese formulario es el que se presenta al usuario engañado que quiere liberar su correo del "problema" presentado en el falso correo:
Al ingresar sus datos el usuario, además de no solucionar nada (es un engaño), quedan a disposición del delincuente en el mismo sitio los usuarios y contraseñas de correo, como se puede ver aquí:
Actualización 23:40hs: Según podemos comprobar, usuarios engañados siguenregalando ingresando sus datos de dirección e-mail usuario y contraseña.
Como se puede ver de los últimos cuatro usuarios que ingresaron sus datos, uno sabe que es un engaño.
La lista de entidades afectadas es la siguiente, en donde destaca la gran cantidad de dominios .ORG.AR, EDU.AR y GOB.AR:
Raúl y Cristian de la Redacción de Segu-Info
El mensaje dice lo siguiente:
Date: Tue, 28 Aug 2012 21:42:59 -0300Recomendamos: Si Ud. recibio este mensaje e ingreso sus datos en la página referenciada en el correo, cambie URGENTE su contraseña pues está en manos ajenas.
From: Administrador del sistema <stella[ELIMINADO]@pjn.gov.ar>
Subject: Alerta Advertencia! Espacio de almacenamiento del buzon ha superado Servicio de TI.
Se ha superado el lÃmite de almacenamiento de 23.432 en su conjunto por su
buzón de correo WEB ITSERVICE / Administrador, y usted va a tener problemas en
el envÃo de y recibir mails hasta que vuelva a validar. Hay que actualizar
haciendo clic en el link de abajo y llene la información para validar
su cuenta.
Por favor siga el siguiente enlace o copiar y pegar a su navegador
para validar
su buzón.
http://tvin.me/corr[ELIMINADO]r <-- link a sitio FALSO
Advertencia!
Si no lo hace, dará lugar a un acceso limitado a su buzón de correo.
falta de actualización de su cuenta dentro de los tres dÃas de esta
actualización notificación, su cuenta será cerrada permanentemente.
Atentamente,
Servicio de TI
Administrador del sistema
************************************************** **********
Éste es un mensaje de Administración de Servicios de TI. es
no spam. De vez en cuando, de Servicios le enviará tal
mensajes con el fin de comunicar información importante sobre su suscripción.
************************************************** **********
----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.
Los correos electrónicos y sus adjuntos son analizados por equipamiento especial para evitar el ingreso de posibles virus a la red del Poder Judicial de la Nación. Esta revisión será efectuada con periodicidad para mejorar el servicio y detectar la propagación de software malicioso. El análisis NO EFECTUA investigación de contenidos. Gracias por su comprensión. Dirección de Seguridad Informática.
Actualización 18hs: hemos procedido a comunicarnos con todos los afectados para avisarles que cambien la contraseña de inmediato. En horas publicaremos los detalles y las empresas afectadas.
Actualización 22hs: en base a los datos de los encabezados del correo que recibimos en la denuncia, podemos comprobar que el correo fue enviado desde un equipo del Poder Judicial de la Nación (pjn.gov.ar) a través de uno de los servidores de correo permitidos según el registro SPF para ese dominio.
El enlace del correo, un URL acortado con un servicio registrado hace apenas 2 meses, carga un formulario http://sun[ELIMINADO].com/forms/use/rdf/form1.html alojado en un dominio registrado hace 3 meses y corresponde a un sitio con sólo una página web sencilla.
Ese formulario es el que se presenta al usuario engañado que quiere liberar su correo del "problema" presentado en el falso correo:
Actualización 23:40hs: Según podemos comprobar, usuarios engañados siguen
La lista de entidades afectadas es la siguiente, en donde destaca la gran cantidad de dominios .ORG.AR, EDU.AR y GOB.AR:
| apoc.org.ar | campus.unam.edu.ar | coevical-net.com.ar |
| conae.gov.ar | consejo.org.ar | coop-her.com |
| correo.inta.gov.ar | cpafc.org.ar | dna.gov.ar |
| ed.gba.gov.ar | fce.uncu.edu.ar | fce.unl.edu.ar |
| fhuc.edu.ar | flacso.org | hsbc.com.ar |
| htc.gba.gov.ar | iib.unsam.edu.ar | inadi.gov.ar |
| isparm.edu.ar | macn.gov.ar | mdp.edu.ar |
| mendoza.edu.ar | ms.gba.gov.ar | nodosud.com.ar |
| osseg.org.ar | prevind.com.ar | rec.unvm.edu.ar |
| rectorado.utn.edu.ar | rosario.gov.ar | sanjuan.gov.ar |
| santafe.edu.ar | senasa.gov.ar | sistemas.frc.utn.edu.ar |
| supara.org.ar | suteba.org.ar | telpin.com.ar |
| tucuman.gov.ar | unl.edu.ar | unsam.edu.ar |
| villamaria.gob.ar |
Raúl y Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!