Mientras intentaba luchar contra mi bandeja de entrada de correo electrónico para dar respuesta al mayor número de mensajes, me di cuenta de que echaba de menos uno que estaba esperando. En un proceso rutinario decidí ir a la
Bandeja de Spam, un sitio al que no suelo visitar prácticamente porque lo que me sobran son mensajes de correo electrónico. Allí siempre suelo encontrar las estafas de siempre,
phishing,
viagra,
nigerianos, adjuntos con exploits en ficheros html, excel, pdf o swf, etc...
|
Figura 1: Phishing de PayPal con exploit HTML |
Lo que me llamó la atención fue encontrarme con un volumen grande de mensajes de
Phishing de Paypal enviados con diferentes formatos, lo que denotaba que estaban siendo enviados por grupos de cibercriminales distintos, pues tras leer el
libro sobre el mundo del Fraude Online me quedó claro que si pueden simplificar el trabajo lo harán, y maquetar distintos formatos de correo electrónico para la misma estafa no hace más que levantar sospechas.
|
Figura 2: Phishing de Paypal, modelo 2 |
Los mensajes habían llegado en un breve espacio de tiempo, por lo que se ve que están trabajando duro con ello. Lo primero fue buscar a ver si estaban utilizando algún servidor vulnerado para tomar control de ellos, pero al revisar las direcciones IP de origen de los mensajes, en ellas no había ningún servicio que hubieran explotado, como pasa en tantas ocasiones como en el caso de los
phishers de Apple Store o los
phishers de Facebook.
|
Figura 3: Phishing de Paypal, modelo 3 |
Al buscar algo de info de estas direcciones IP en
Robtex, y no tener ningún dato de ellas, queda claro que son equipos domésticos infectados por alguna
botnet, lo que generó la siguiente pregunta en mi mente. ¿Cómo es posible que un mensaje falso de Paypal enviado desde un equipo infectado en mi
botnet haya entrado ni tan siquiera en mi
Bandeja de spam?
|
Figura 4: Phishing de PayPal, modelo 4 |
La pregunta me vino recordando a
Juliano Rizzo (@julianor) explicando en la
Ekoparty del año pasado que
para hacer la demo de BEAST habían utilizado a Paypal.com porque hacían todo lo demás bien. Y es que, para explicar los filtros
antispam, yo siempre ponía como ejemplo a
Paypal que usaba SPF, SenderID, Domainkeys y DKIM todo configurado al máximo, como se puede ver en estas imágenes que tomé en post sobre los filtros
antispam.
Algo había tenido que cambiar, o mi
Exchange Server se hubiera cargado los correos sin dejarlos ni acercarse a una bandeja de entrada, así que pasé a revisar de nuevo las políticas antispam de Paypal.com para ver que
se ha cambiado la política SPF, eliminando SP2 y bajando el nivel de criticidad de los correos no enviados desde sus servidores al poner una política ~all en lugar de la antigua -all. Esto ha tenido como consecuencia que lleguen hasta mi buzón, aunque sea como
spam.
|
Figura 6: Política SPF de Paypal. Solo SPFv1 y con Ebay incluido |
Las políticas
DomainKeys y DKIM siguen como estaban, pero además se ha incluido a
Ebay como servidores autorizados para enviar correos de
Paypal.
|
Figura 7: Política Domainkeys |
|
Figura 8: Política DKIM |
Supongo que
Paypal ha tomado esta decisión porque debía afectar a alguno de los sistemas que haya implementado, pero si en mi caso ha llegado a la
Bandeja de spam, es probable que en otros haya conseguido llegar a la bandeja de entrada, por lo que seguro que los amigos de las estafas lo agradecerán.
Saludos Malignos!
4 comentarios:
Y a todo esto se le suma que algunos de sus correos reales parecen phishing de tantos enlaces que tienen, hay que leerlos 3 veces por las dudas xD
Cabe destacar que PayPal brinda una direccion de correo a donde FWD esos email phishing. Esta disponible en https://www.paypal.com/ar/cgi-bin/webscr?cmd=xpt/Marketing/securitycenter/antiphishing/PPPhishingReport-outside
Muy bueno
Si recibís uno, debéis reenviarlo a: spoof@paypal.com
Publicar un comentario