Epidemia de mensajes falsos de personas conocidas
En las últimas horas hemos recibidos decenas de denuncias sobre mensajes de correo que provienen de personas conocidas pero que en realidad son enviados por los sistemas infectados de esas personas.
Los asuntos de los correos varían pero pueden ser:
http://[ELIMINADO].168.29.17/?leer=pukima&f=[email protected]&to=[email protected]&n=NOMBRE_CONOCIDO
La dirección IP puede ser distinta en cada correo. A continuación puede verse una imagen con los detalles descriptos:
Si el usuario cae en la trampa puede ser redirigido a dos sitios distintos:
En la imagen anterior se puede constar que se ingresó a GMail porque el correo de la víctima en este caso era @gmail.com. Además puede observarse que el usuario se encuentra en un sitio que no es GMail, no es una página segura HTTPS y la captura de la página fue hecha cuando GMail aún ofrecía 2 GB de espacio de almacenamiento, cuando hoy ese número es superior a 10 GB. Luego de ingresar la contraseña, el usuario es redirigido al sitio siguiente sitio web. Cambia tu contraseña.
En esta página no importa el número celular que se ingrese, finalmente se hace un "rastreo" y se pide al usuario que ingrese SU número de teléfono celular:
En el primer punto, si el usuario ingresa su contraseña, los delincuentes la van a almacenar y posteriormente utilizan las cuentas de correos para robar la libreta de contacto de las víctimas y enviar el mismo mensaje a todos ellos. Por eso este correo siempre llega de una persona conocida. Si Ud. recibió este mensaje, comunique a su contacto que ya fue una víctima. Cambia tu contraseña.
El "rastreo" posterior (falso) es simplemente una simulación pero los delincuentes utilizan la dirección IP de la víctima para geolocalizarla y de esta manera conocer al menos su país de procedencia. En la imagen se muestra un mapa de parte de Argentina y las operadoras celulares de dicho país.
En este momento algunos de los sitios utilizados están siendo detectados por algunas herramientas de seguridad pero cambian continuamente y la epidemia continúa.
Como puede verse es un engaño bien logrado con un componente de ingeniería social muy básico: una mensaje corto que proviene de un conocido y dá curiosidad el abrirlo.¡NO LO ABRAS! y si lo hiciste cambia tu contraseña o serás la próxima víctima.
Finalmente, es importante destacar que no importa el sistema operativo del usuario ya que el engaño completo no utiliza archivos ejecutables sino simplemente engaños más o menos bien logrados. Hasta ahora no hemos constatado que se descarguen archivos dañinos al sistema, pero no se descarta que se podría hacer cuando el usuario ingresa a algunos de los enlaces suministrados.
Actualización 21:00: los mensajes originales llegaban sólo en español pero ahora también llegan en inglés.Además la redirección se realiza a otro nuevo sitio:
Cristian de la Redacción de Segu-Info
Los asuntos de los correos varían pero pueden ser:
- como va
- c omo va (separado)
- vi deo
- presta ate ncion
- pres ta atencion
- Pay attention
- im ages
- fa cebook
- foto nuestr a
- ho la
- nosotr os
[[email protected]] te ha enviado un mensaje privado.Además los mensajes siempre tienen este texto en el cuerpo (en español):
Mensaje Privado
[[email protected]] sent you a private message.En "Mensaje Privado" o "Read it here" tiene un enlace a una servidor dañino, de la siguiente forma:
Read it here
http://[ELIMINADO].168.29.17/?leer=pukima&f=[email protected]&to=[email protected]&n=NOMBRE_CONOCIDO
La dirección IP puede ser distinta en cada correo. A continuación puede verse una imagen con los detalles descriptos:
Si el usuario cae en la trampa puede ser redirigido a dos sitios distintos:
- Un sitio web falso de un webmail (GMail, Hotmail, Yahoo!, etc) y se le solicita la contraseña. El nombre de usuario es obtenido de la URL anterior, desde el parámetro "[email protected]".
- Un sitio web con una supuesta herramienta para rastrear personas por su celular: Buddy Locator es un sitio fraudulento que ofrece servicios de localización y seguimiento online usando números de teléfono móvil e Internet para localizar la posición de tus amigos, novias o hijos utilizando GPS".
En el primer punto, si el usuario ingresa su contraseña, los delincuentes la van a almacenar y posteriormente utilizan las cuentas de correos para robar la libreta de contacto de las víctimas y enviar el mismo mensaje a todos ellos. Por eso este correo siempre llega de una persona conocida. Si Ud. recibió este mensaje, comunique a su contacto que ya fue una víctima. Cambia tu contraseña.
El "rastreo" posterior (falso) es simplemente una simulación pero los delincuentes utilizan la dirección IP de la víctima para geolocalizarla y de esta manera conocer al menos su país de procedencia. En la imagen se muestra un mapa de parte de Argentina y las operadoras celulares de dicho país.
En este momento algunos de los sitios utilizados están siendo detectados por algunas herramientas de seguridad pero cambian continuamente y la epidemia continúa.
Como puede verse es un engaño bien logrado con un componente de ingeniería social muy básico: una mensaje corto que proviene de un conocido y dá curiosidad el abrirlo.¡NO LO ABRAS! y si lo hiciste cambia tu contraseña o serás la próxima víctima.
Finalmente, es importante destacar que no importa el sistema operativo del usuario ya que el engaño completo no utiliza archivos ejecutables sino simplemente engaños más o menos bien logrados. Hasta ahora no hemos constatado que se descarguen archivos dañinos al sistema, pero no se descarta que se podría hacer cuando el usuario ingresa a algunos de los enlaces suministrados.
Actualización 21:00: los mensajes originales llegaban sólo en español pero ahora también llegan en inglés.Además la redirección se realiza a otro nuevo sitio:
Cristian de la Redacción de Segu-Info
justo ayer o anteayer recibí uno de esos,....lo eliminé inmediatamente...si hubiera sido algo importante me lo hubiera escrito en el mensaje!!
ResponderBorrarya lo reposteo en FB a todos mis contactos!
Gracias!
EleBati
recien me llego uno que decia en asunto: fa cebook... asiq tengan cuidado igual!!!!!!!
ResponderBorrarHola Bruja,
ResponderBorrarCualquier correo sospechoso puedes denunciarlo enviándolo a phishing @ segu-info.com.ar
La regla de oro: "Nunca abras enlaces o adjuntos no solicitados, incluso si vienen de conocidos."
Saludos ;-)