Tecnología y un poco más... Blog - Mopa Hosting, sistemas, cómputo y más

logo M
M Cómputo y sistemas
Title
M Cómputo y sistemas
Vaya al Contenido

La Sextorsión - ¿Por qué? me llegan correos desde mi misma cuenta -

Mopa Hosting, sistemas, cómputo y más
Publicado por en Programación ·

Extorsión - ¿Por qué? me llegan correos desde mi misma cuenta - la Sextorsión

 
 
 
En días recientes una campaña de extorsión -extorsión-se ha generado;  y aunque este tipo de extorsiones no es nueva, si ha cambiado la forma en como lo hacen.

 
 
A mediados del año una fuga masiva de claves de varios sitios, dio pie a una campaña masiva de extorsión; y aunque las contraseñas tienen 10 años o más de antigüedad, la gente aun las utilizaba desatando una hecatombe, pero bueno esa es otra historia.
 
Ej.
 

 
Volviendo al tema, ahora utilizan una técnica vieja y conocida (y es que el correo electrónico fue inventado en 1970 aproximadamente); la suplantación de identidad -spoofing - esta  técnica es utilizada para darle más credibilidad a la estafa.
 
¿Y cómo hacen esto?, bueno como ya he explicado el protocolo tiene poco más de 48 años y en ese tiempo su creador no imaginaba que este se fuera a utilizar para crear correo basura (spam); pues entonces existen comandos para la comunicación entre los servidores entre ellos RCPT TO y MAIL FROM; el primero indica a quien va dirigido el correo (destinatario) y el segundo quien es el remitente.
 
Pero ¿Qué pasa si alteramos estos dos comandos y ponemos la misma dirección?;  pues claro vamos a tener un correo con suplantación de identidad.

 
 

Analizando el SPAM

 
 
 
 

Como bien dijimos, el correo hace referencia en el campo “De”, “Remitente” a la misma cuenta o dirección del campo “Destinatario”, “Para”, “A”, etc.
 
 
Dependiendo el lector de correo que utilicemos este puede verse diferente. ver Imágenes
 

 
 
Como podemos observar el correo no tiene nada extraño solo, que fue desde mi cuenta de donde enviaron el correo.
 
 

 
Contiene la cantidad en dólares que piden para no divulgar la “información secreta ó privilegiada” y la cuenta para depósito de los bitcoins; bueno hasta te ayudan por si no sabes cómo comprar los BTC.
 

 
 
 

Un poco más a fondo – Análisis de cabeceras

 
 

 
Después de ver un poco como funciona el vamos a ver las cabeceras o el código fuente.
 
 
En Mozilla Thunderbird nos vamos al botón de “Más” que se encuentra del lado derecho y seleccionamos “Ver Código Fuente” ó Ctrl+U; lo cual nos muestra el código fuente del correo en cuestión.   ver imagen
 
 

En la primer parte que nos interesa “Return- Path” vemos que tiene la dirección de retorno,  en este caso es mi misma dirección de correo.   ver imagen

 
 
Después de eso tenemos la sección de spam ver imagen aquí podemos apreciar que la información del score del servidor es correcta y como verifica la cuenta desde donde viene que es la nuestra pasa sin mayor problema; aunque si vamos un poco más abajo podemos ver que las cabeceras SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) nos dan error. ver imagen
 
En las imágenes anteriores podemos ver también quién es el destinatario, y la dirección es válida.

 
 
En la siguiente imagen podemos apreciar desde donde se recibe el correo con la extorsión – desde que IP -   ver imagen; y sabemos que esa imagen no es de ninguno de nuestros servidores. En este punto podemos deducir que el correo es una extorsión muy bien elaborada.

 
 
Continuando con esto; como mencionamos líneas atrás las cabeceras de SPF y DKIM tienen error; pero como DKIM está en modo “relax” y SPF en modo “softfail”, deja pasar los correos con errores.
 
 
Pero…
 
 

¿Por qué poner a DKIM en modo “relax” y a SPF en modo “softfail”?

 
 
 
Pues, básicamente, porque no todos los servidores de correo envían estos datos (están mal configurados).
 


 
 

¿Qué puedo hacer para reducir esto?


Configura correctamente los servidores

 
 
 

Primeramente verificar que tengas DKIM y SPF, si no están configurados pídele a tu proveedor de servicio de hosting que los ponga y active en modo softfail y relax para pruebas y en modo reject (SPF) y simple (DKIM) para hacer un poco más eficiente la recepción de correos y que el servidor pueda filtrar correos con suplantación de identidad como estos.
 
 
 

Reporta

 
 

 
Utiliza los servicios para reposrtar SPAM como , y algún servicio de reportes de direcciones IP como ABUSEIP, en estos 2 servicios con una cuenta gratuita puedes empezar a reportar los correos no deseados que te recibas, así como las ips desde donde proviene dicho correo y hacer un poco más seguro el entorno.
 


 
Estos servicios se encargan de que los datos lleguen a los administradores de las redes y en su caso agregar los datos (redes, servidores, cuentas, etc.) a las listas negras correspondientes.

 
 
 

No ser parte de la Estafa


 
 
 
No Pagar la sextorsión o extorsiones, hemos verificando las direcciones BTC de los correos algunas tienen bastante actividad y es redituable para los extorsionadores como podemos ver en estas imagenes -el precio del bitcoin está por los 6,000 USD-.
 
 
 
Saludos
 
 


 
 

P.D. Como recomendación tapar la cámara con una cinta negra no estaría de más; no vaya a ser la de malas.




comments powered by Disqus
OAMS - MMXVII
Regreso al contenido