Campaña navideña de robo de contraseñas

By
In Sin categoría
En estos días tan señalados, y como viene siendo habitual, proliferan las campañas realizadas a través de correo electrónico, con temática navideña, con la intención de vender Viagra, distribuir malware o intentar robar contraseñas de correo. Estos días he recibido varios correos de mis contactos para que visitara una postal navideña de un usuario anónimo, en nombre de Correos.

Está claro que no tiene buena pinta, y si seguimos el enlace nos encontramos con una pantalla de login, donde debemos meter nuestra contraseña de correo para, supuestamente, ver nuestra postal. Este login aparece en primer plano, mientras que de fondo se carga la página legítima de Correos para parecer más real y verídico.

Nuestra cuenta de correo se pasa como parámetro al pulsar el enlace y está codificada en Base64:

Lo curioso es que el servidor lleva un registro de las cuentas válidas y no muestra el login siempre, sino que debe ser una cuenta a la que se haya enviado anteriormente el correo. En caso contrario muestra un error:

El objetivo de esta campaña parece claro, y no es otro que el robo de contraseñas de correo electrónico. Se trata de una cadena, en la que cuando suministras una contraseña correcta de correo, se registra y se buscan los contactos de esa cuenta para enviarles a su vez el mismo correo. La finalidad de esta recolección puede ir desde la venta de esta información en el mercado underground al uso de las cuentas para el envío de SPAM u otras campañas similares, por lo que se recomienda el cambio de la contraseña si se ha llegado a introducir en esta página fraudulenta.

También es destacable la firma y el contenido del correo. Se firma en nombre de una persona que realmente existe y está relacionada con el mundo del Marketing, como indica la firma del correo fraudulento. Si echamos un vistazo a la página web de la empresa para la que trabaja, vemos que se pueden enviar regalos navideños, y si nos fijamos en su texto promocional, éste coincide exactamente con el texto que se incluye en el correo electrónico. Por lo menos parece que los delincuentes se han molestado en usar identidades y textos reales para realizar esta campaña, dotándola de mayor realismo de cara a obtener el mayor número de contraseñas posibles.

El dominio se creó el 12 de diciembre (hace 15 días) y la IP a la que resuelve pertenece a un bloque de direcciones localizadas en China.

Como ya he comentado, es necesario que en estas fechas se esté más atento si cabe a este tipo de correos, evitando cualquier tipo de interacción con los servidores maliciosos. ¡Felices fiestas a todos! pero sin olvidarse de la seguridad… 😉

Jose Miguel Esparza
S21sec e-crime
(Blog / Twitter)

Recommended Posts
Showing 4 comments
  • Gonzalo
    Responder

    Yo he picado. Nunca pensé que me pudiera pasar, y piqué…
    En fin llego tarde a leerlo, pero muchas gracias.

  • Anónimo
    Responder

    Hola,
    Gracias por la información. Lamentablemente no caí en la cuenta y pinché el enlace. Aunque no puse mi contraseña me llegan correos de algunas de las personas de mi lista de contactos que pone:
    "This is an automatically generated Delivery Status Notification.
    Delivery to the following recipients failed."
    Ya les he avisado para que no lo abran y pedir disculpas. ¿Hay alguna forma de hacer que mi correo deje de enviar ese mensaje? ¿He de pasarle algún antivirus a mi ordenador (tengo un Mac)?
    Gracias por tu ayuda.

  • Jose Miguel Esparza
    Responder

    Hola,

    primero, gracias por los comentarios.

    @Anónimo: En principio, en el código de la página no vi nada sospechoso, por lo que simplemente con pinchar en el enlace no te podrías haber infectado. Cuando recibes el correo "This is an automatically […]", ¿qué estabas enviando exactamente? ¿En el cuerpo del correo dice que estabas enviando el correo que menciono en mi post u otra cosa? ¿Puede ser que estuvieras infectado anteriormente? Te lo pregunto porque si, en principio, la página no infectaba (hablando de Mac hay menos probabilidades todavía), y no introdujiste la contraseña no habría razones para pensar que este ataque te haya afectado…

    @Gonzalo: ¡Acuérdate de cambiar la contraseña! 😉

    Un saludo!

  • cesar
    Responder

    Hola a todos! quisiera comentarles que a mi también me paso lo mismo… pero no sabia que era… ahora ya se.. muchas gracias.. pero para que roba uno las contraseñas?

    GGG – recetas faciles

Leave a Comment