Scam y Sextorsion, los secretos de la carpeta de Spam.

Scam y Sextorsion, los secretos de la carpeta de Spam.

Para ser un gran cazador de malwares lo cierto es que no debes viajar muy lejos para conseguir buenas piezas. 

Con solo abrir la carpeta de Spam podemos descubrir un mundo delirante de "timos de la escampita", por parte de princesas nigerianas o  multimillonarias hijas de ex dictadores, bancos que nos advierten de problemas en nuestras cuentas que debemos resolver pinchando un simple enlace, mujeres liberadas de prejuicios que beben los vientos por nosotros o pobres oficiales heridos que temen no poder volver a casa sin nuestra ayuda.

En ocasiones, llegan a burlar la inteligencia artificial de nuestro servidor de correo y escalan hasta las primeras posiciones de nuestra bandeja de entrada; uno de los dos ejemplos comentados lo consiguió.

Los scammers evolucionan mucho, ya no escriben esos textos traducidos macarronicamente, e incluso no nos llevan a una web fake de nuestro banco; sino a la web oficial. Alucinante !!



El texto resulta más o menos correcto y convincente, lo que mosquea es que Bankia tenga sus servidores en Alemania, en fín, con tanta externalización de servicios...

Vayamos al correo real, no el cuento de hadas que nos muestra nuestro correo web.


Return-Path:

X-YahooFilteredBulk: 109.237.142.239
Received-SPF: none (domain of dietmar-wuth.de does not designate permitted sender hosts)...


X-Originating-IP: [109.237.142.239]
Authentication-Results: mta1072.mail.ir2.yahoo.com  from=dietmar-wuth.de; dkim=neutral (no sig)
Received: from 127.0.0.1  (EHLO relay03.alfahosting-server.de) (109.237.142.239)
  by mta1072.mail.ir2.yahoo.com with SMTPS; Wed, 01 May 2019 12:01:13 +0000
 

From: Bankia
To: suppkort@alfahosting.de
Subject: Nuevo Mensaje
Date: Wed, 1 May 2019 05:00:26 -0700

Conclusiones:

dietmar-wuth.de es un servicio de hosting, al igual que alfahosting, ambos servicios lícitos.

Por supuesto la IP es alemana y pertenece a Alfahosting.

Y no, Bankia tiene sus servidores web en Madrid con ISPCM Network.

¿Pero qué sucede realmente si clicamos, alarmados por el texto, el enlace malicioso?

Esto es lo más alucinante. En lugar de llevarnos a un sitio fake creado por SET (Social-Engineer Toolkit) en Kali, para capturar nuestro usuario y contraseña; nos lleva al servidor real de Bankia !!

No tengo claro si entre las cosas que se descargan en nuestro equipo, en el proceso que recorre servidores de varios países, no habrá un keylogger que registre nuestras pulsaciones cuando nos logamos al sitio legítimo. Dejo el enlace de Any para posteriores investigaciones:


Os había prometido un caso de sextorsion, en realidad no puedo afirmar que acabase así, aunque situaciones similares si lo han hecho.




He pixelado los textos para proteger a nuestros lectores menores, a los que recomiendo, como a los adultos, ser muy cuidadosos con sus contenidos digitales íntimos.

No puedo incluir el análisis de Any por la procacidad de las imágenes y videos. Más abajo dejo un pantallazo de la parte menos agresiva.

En definitiva, contar que el enlace lleva a una presunta red social de señoritas buscando hombres. 
Aparece un portal de registro en un idioma que me pareció nórdico y hay que rellenar ciertos campos.
Entretanto se despliegan de forma transparente una serie de acciones maliciosas.




Comentarios

Entradas populares