Últimamente me han mostrado unos cuantos mensajes fraudulentos que traen un regalito en un fichero adjunto.
Todos
los que he visto declaran como remitente a una cuenta de yahoo.es. Pero
la cuenta varía de mensaje a mensaje. El asunto es del tipo
"Documentacion" o "Re:documentacion urgente" y el cuerpo contiene el siguiente texto:
"
Gracias
Pero necesito todos los docuementos
ADVERTENCIA LEGAL: la informacion de este mensaje de correo electronico es
confidencial y se dirige exclusivamente al destinatario previsto. Si usted ha
recibido el mensaje por error, por favor, notifiquelo al remitente y borrelo sin
copiarlo grabarlo ni distribuirlo.
"
El camino que este tipo de mensajes dice haber recorrido suele ser curioso y siempre es bueno mirarlo:
Received: from [182.48.86.114] (helo=ip-182-48-86-114.colology.com)
by XXXXXXXXXXXXXXXXXXXXXXXXXXX
(envelope-from <unprofitablezx2@terra.es>)
id xxxxxxxxxxxxx
for destinatario@example.com; Wed, 18 Mar 2015 09:47:33 +0100
Received: from [183.78.30.37] (account newfoundlandsy796@terra.es HELO xryizwv.cgwnh.ua)
by ip-182-48-86-114.colology.com (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 593108774 for destinatario@example.com; Wed, 18 Mar 2015 14:50:27 +0600
Received: from [149.19.90.90] (account newfoundlandsy796@terra.es HELO zeggfdw.frhuevgsjzsdlfg.ua)
by ip-182-48-86-114.colology.com (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 633915718 for destinatario@example.com; Wed, 18 Mar 2015 14:50:27 +0600
Como
cada servidor de correo por el que pasa el mensaje puede poner sus
propias cabeceras (e incluso podría cambiar las que recibe), las
cabeceras "Received" van perdiendo fiabilidad y credibilidad a medida
que van apareciendo. Yendo al primer salto fiable, el correspondiente a
cuando el mensaje entró en el dominio del receptor del correo, el
mensaje procede de la IP 182.48.86.114, identificada como
ip-182-48-86-114.colology.com. Esta IP pertenece a la AS58715, de EARTH
TELECOMMUNICATION, compañía ubicada en Bangla Desh. El dominio
colology.com tiene IPs correspondientes también a EARTH
TELECOMMUNICATION.
Hasta ahí parece que el mensaje llegó desde
dos direcciones. La primera de ellas, 183.78.30.37, ubicada en Malasia y
la segunda, 149.19.90.90, norteameriacana.
En ambos casos, el
saludo entre servidores hace referencia a nombres de equipo
pertenecientes a dominios de Ucrania (.ua), xryizwv.cgwnh.ua y
zeggfdw.frhuevgsjzsdlfg.ua. A estos se puede añadir el nombre de dominio
owdxggvmp.ua, también sin registrar, que aparece en el Message-Id:
Message-ID: <ECEa1BDFfcCD7b.4Ee3A0b5.CE775972A0@trslbwzjclcnw.owdxggvmp.ua>
En
todos estos casos, por las consultas que he podido hacer, los dominios
no existen. Ni tampoco responden a ping ni a los intentos de acceso SMTP
realizados las IPs de los servidores mientras escribo esto. Y ambas
están en alguna lista negra de SPAM.
En las cabeceras aparecen dos cuentas de terra.es:
- newfoundlandsy796@terra.es, en cabeceras "Received"
- unprofitablezx2@terra.es, en el "Return-path":
Return-path: <unprofitablezx2@terra.es>
El
uso de nombres de dominios .es a la hora de enviar SPAM a personas cuyo
idioma es el español apunta a un SPAM bien planeado y dirigido.
Y también lo hace el texto, con su buena redacción. Sobre todo cuando
lo habitual es encontrarse con la típica traducción automática.
Lo que rompe toda esta corrección es la falta de tildes en el asunto y
el cuerpo del mensaje. Eso y una falta, ya sea de ortografía o de
mecanografía: "docuementos" por "documentos". Lo de las tildes apunta a
alguien cuyo idioma que carece de ellas. Quizá a un teclado en el que
son imposibles o difíciles de poner o quizá al miedo a que los
servidores tengan problemas con caracteres extraños.
Y, por ir acabando, un adjunto con el nombre
"documentacion_2015.03_doc.zip". Un archivo comprimido cuyo contenido es
otro fichero llamado "documentacion_2015.03_doc.doc.exe". Los viejos
trucos de la doble extensión y el nombre de fichero muy largo que a
veces consiguen que el usuario no sepa sobre qué clase de cosa hace
doble clic. Ni que decir tiene que de hacerlo estará metiendo algo no
recomendable en su equipo...
Si por algo destaca esta campaña de
distribución de malware es por lo bien diseñada que está, no desde el
punto de vista meramente técnico sino desde el de la Ingeniería Social.
Lo cuidado del mensaje (salvo por las tildes y un errorzuelo que a
cualquiera se le cuela de vez en cuando) que hasta lleva la típica
coletilla de "ADVERTENCIA LEGAL: la informacion de este mensaje de
correo electronico es confidencial y se dirige exclusivamente...". Y
cómo encaja con una comunicación administrativa típica en la que siempre
te piden más documentos y en la que, casi siempre con enfado, te
preguntas ¿y éste qué quiere ahora? mientras tratas de averiguarlo.
La moraleja es que si los malos mejoran en algún campo, los buenos
también tenemos que hacerlo. Si ellos usan técnicas de ingeniería social
más efectivas, nosotros debemos contrarrestarlas también en el campo
humano y social. No limitarnos a poner en funcionamiento unas
salvaguardas técnicas que no siempre contrarrestan las nuevas amenazas.
Ir al cuerpo a cuerpo con los usuarios finales y trabajar en su
formación y concienciación.
Y aprender mucha Ingeniería Social. Porque ésta enseña a convencer y motivar. Porque convencer y motivar a usuarios y directivos
ayuda en nuestro trabajo. Ayuda mucho.
No hay comentarios:
Publicar un comentario