Antes de analizarlo y describir como funciona la estafa, transcribimos el mensaje de correo (errores incluídos), solicitando la "ayuda":
Asunto: Bad moment .......(Nombre real del remitente)Como se puede ver lo primero que se destaca son los múltiples errores ortográficos y gramaticales. Es el resultado de una redacción hecha en otro idioma y traducido al español por algún servicio automáticos como podría ser Google Translate.
Hola,
¿Cómo te va? Lo siento que va a obtener este correo .... ahora he
viajado de vacaciones a Londres, Reino Unido con mi familia para unas
vacaciones cortas y nos asaltaron a punta de pistola ayer por la noche
en el parque del hotel donde nos alojamos .. Todo en efectivo, tarjetas
de crédito y teléfonos celulares fueron robados de us.We han estado en
la embajada de EE.UU. y de la policía aquí, pero no están ayudando a
todos los problemas, nuestro vuelo sale en unas pocas horas a partir de
ahora y vamos a tener problemas de asentamiento las facturas de hotel.
El gerente del hotel no nos dejan salir hasta que llego a un acuerdo las
facturas de hotel ahora estoy asustado, Déjame saber lo que puede
hacer.
[firma de persona conocida]
El correo del remitente es efectivamente de alguien conocido y en estos casos de direcciones de webmails como Yahoo!, Hotmail o GMail.
Revisando uno de los encabezados y sometiéndolos al análisis de SpamCop vemos que el origen es efectivamente un servidor de Yahoo!, o sea que es un correo legítimo, pero la conexión a Yahoo! fue realzada desde una dirección IP 41. 155. 3. 140 (de Lagos, Nigeria)
Datos de Spamcop:
- host 41. 155. 3. 140 (getting name) = dial-pool4. lg. starcomms.net
- Possible spammer: 41. 155. 3. 140
- Possible relay: 98. 139. 52. 195
Datos de la red de origen:
- inetnum: 41. 155. 3. 0 - 41. 155. 3. 255
- netname: STARCOMMS-20081218
- descr: Dial pool subnet for Lagos subscribers
- country: NG <-- NIGERIA!!!
- admin-c: CM9-AFRINIC
- tech-c: CM9-AFRINIC
- status: ASSIGNED PA
- mnt-by: STARCOMMS-MNT
- source: AFRINIC # Filtered
- Ubicación geográfica en el mapa
Siendo cautelosos y controlando el impulso de buen samaritano (explotado por los estafadores), vemos que estamos frente a un engaño y que a nuestro amigo parecen haberle robado las credenciales de su correo para hacer este intento de estafa. Nuestro amigo tiene problemas, ¡pero no los que dicen en el correo!
Hemos procedido a notificar por otro medio (no a la dirección de correo comprometida) a los "conocidos" para que:
- cambien su contraseña de correo desde una PC segura
- hagan revisar si no tienen infectada su PC (ya que el robo también se realiza con troyanos)
- verifiquen si han usado su correo desde un equipo no habitual (cibercafe o similar)
- utilicen servicios de doble autenticación como los provistos por GMail
Conclusión: sospeche de correos con los síntomas descriptos. Verifique, si le quedan dudas que pudiera ser algo real, por otro medio de comunicación o con un amígo en común para saber si no recibió el mismo pedido.
Raúl de la Redacción de Segu-Info
intersante localizacion IP ;)
ResponderBorrargracias
Muy buen informe!!!!
ResponderBorrarMuy interesante como siempre Raúl,
ResponderBorrarGracias por el aporte.
Y pasa que lo de los petro-dolar ya nadie se lo creía.
ResponderBorraradriana