of 10/10
Destripando un e-mail sospechoso goigon.blogspot.com Septiembre, 2016 Comienza un nuevo curso escolar, podríamos decir que también un nuevo curso laboral y una nueva cuesta económica al enfrentarnos a todos los gastos que un inicio conlleva. Y un incremento de correos “raros” que de cuando en cuando aparecen en nuestros buzones de entrada entre los que destacan los sempiternos correos de personas que están locas por nuestros huesos y todo aquello que los recubre… Y nos mosquea ¿no? Aunque, reconozcámoslo, es normal que los recibamos porque estamos como quesitos, como yogurines ¡vamos! Pues va a ser que no. Que quien está loco por nosotros no lo está por nuestros huesos, sino por nuestros dispositivos y, en definitiva, por nuestra cartera. Hoy vamos a alimentar un poco nuestro ego y no precisamente por lo buenos que estamos, sino porque vamos a intentar ser un poco más listos que el malo que nos manda esos correos con aviesas intenciones. Pues sí. Y muy sospechoso. Lo inmediato es eliminarlo y después vaciar la papelera, pero hoy vamos a destriparlo. Comenzamos por sospechar de la forma de escribir, que si bien no es un inglés académico, es un llamémosle slang que podría colar si no fuera porque tiene símbolos raros: asteriscos, ceros, unos, más asteriscos… No es idioma hacker, no; es una simple treta para que los programas anti-spam o filtros parentales no detecten determinadas palabras que suelen estar relacionadas con Página 1 Correo (sospechoso ¿no?) recibido ¿Será idioma "hacker"?

Destripando un correo electrónico sospechoso

  • View
    53

  • Download
    0

Embed Size (px)

Text of Destripando un correo electrónico sospechoso

  • Destripando un e-mail sospechosogoigon.blogspot.com

    Septiembre, 2016

    Comienza un nuevo curso escolar, podramos decir que tambin un nuevo curso laboral yuna nueva cuesta econmica al enfrentarnos a todos los gastos que un inicio conlleva. Yun incremento de correos raros que de cuando en cuando aparecen en nuestrosbuzones de entrada entre los que destacan los sempiternos correos de personas queestn locas por nuestros huesos y todo aquello que los recubre Y nos mosquea no?Aunque, reconozcmoslo, es normal que los recibamos porque estamos como quesitos,como yogurines vamos!

    Pues va a ser que no. Que quien est loco por nosotros no lo est por nuestros huesos,sino por nuestros dispositivos y, en definitiva, por nuestra cartera.

    Hoy vamos a alimentar un poco nuestro ego y no precisamente por lo buenos queestamos, sino porque vamos a intentar ser un poco ms listos que el malo que nosmanda esos correos con aviesas intenciones.

    Pues s. Y muy sospechoso. Lo inmediato es eliminarlo y despus vaciar la papelera, perohoy vamos a destriparlo.

    Comenzamos por sospechar de la forma de escribir, que si bien no es un inglsacadmico, es un llammosle slang que podra colar si no fuera porque tiene smbolosraros: asteriscos, ceros, unos, ms asteriscos

    No es idioma hacker, no; es una simple treta para que los programas anti-spam o filtrosparentales no detecten determinadas palabras que suelen estar relacionadas con

    Pgina 1

    Correo (sospechoso no?) recibido

    Ser idioma "hacker"?

  • Destripando un e-mail sospechosogoigon.blogspot.com

    correos basura, como Fuckbuddy, surprise, sex Cambiando algn carcter porotro smbolo muuuy parecido nosotros lo leemos igual, pero para una mquina, para unprograma de ordenador no coincide con ninguna entrada de su lista negra y lo dejapasar. Y nos llega.

    Otros detalles que nos tienen que poner sobre alerta son:

    no conozco al remitente (y si conociera el nombre del o de la tal Oasis Gee esotampoco me asegura que sea quien dice ser)

    no viene mi nombre ni mi apellido: soy sweetie (si es que estoy tan, tan, tan).Esto es importante.

    en lugar de darme la informacin/producto/fotos!! que me ofrecen me piden ir auna web desconocida? Sugirindome pinchar en *see them here*. Mmm

    No. No pinta bien. As que vamos a mirar por detrs, a ver que podemos encontrar.

    Todas las aplicaciones de correo electrnico tienen una opcin que permite ver lafuente del mensaje, es decir, todo lo que realmente viaja con ese correo electrnicoque recibimos tan clarito y tan bien organizado. Obtendremos algo as:

    Pgina 2

    Cdigo fuente del mensaje de correo

  • Destripando un e-mail sospechosogoigon.blogspot.com

    Y anda que no hay cosas raras! Pero para nuestros fines nos basta con fijarnos en unaspoquitas.

    La primera es el remitente (Return-Path), o quien nos manda el correo.

    La segunda que nos va a dar informacin es la direccin IP del proveedor, ladireccin desde la que ha salido el correo.

    Y la tercera es la direccin web a que nos manda el enlace. En este caso,mosquean dos cosas: una, que es una direccin acortada; dos, que es de undominio .ru (Rusia) miedito!

    Estas tres cositas deberan hacernos eliminar ya el correo, sin ms; pero hoy estamoscuriosones, y queremos saber algo ms antes de borrarlo!

    As, comenzamos con la direccin IP de la mquina (que hasta parece legtima) desde laque nos mandan el correo.

    No pinta mal ni sospechoso en principio, aunque la IP pueda, perfectamente, estarenmascarada y el correo haber sido enviado a travs de un ordenador conectado a unproxy o a la red TOR (que es lo que hacen los malos). Suponiendo que la IP no estfalsificada, este correo nos lo estn mandando desde una poblacin del estado de Texas(USA) llamada Lubbock. Has estado alguna vez? Yo tampoco.

    Pgina 3

    Identificando la IP de origen

  • Destripando un e-mail sospechosogoigon.blogspot.com

    Toca, pues, pasar esa direccin IP por algn motor que nos informe si se tienenreferencias de que desde ella se est enviando spam o, directamente, malware.

    Y sigue sin pintar bien: claroscuros en dos diferentes sitios web de referencia, lo que nome termina de tranquilizar, no.

    Pgina 4

    Informacin sobre la direccin IP

  • Destripando un e-mail sospechosogoigon.blogspot.com

    Esta no nos aclara nada, nos deja al cincuenta por ciento de dudas, por lo que acudimos aotra

    Esta ya parece que pinta ms verde, pero el mero hecho de que haya algunos puntosrojos me contina dando mala espina, as que lo dejo y me voy a investigar muy porencima la direccin de correo del remitente. Y digo que muy por encima porque

    Pgina 5

    Segunda consulta de IP

  • Destripando un e-mail sospechosogoigon.blogspot.com

    seguramente sea un mail desechable, con el que no merece la pena emplear tiempohaciendo uso de otras herramientas de OSINT que nos pueden arrojar mucha luz sobreun perfil digital.

    Como la direccin es algo as como [email protected] el primer paso es buscarel dominio; o sea, lo que hay a la derecha de la @.

    Este, como tal, no existe, pero vemos que depende de uno que tiene pinta de aqu no sehacen demasiadas preguntas, lo que no contribuye precisamente a tranquilizarnos oestaremos confundidos?

    No te parece que pinta raro? No te has dado cuenta de que falta el candadito delantede la direccin? Esa ausencia significa que tus datos de usuario/contrasea viajan enclaro a travs de Internet, disponibles para cualquiera (y ya si te conectas desde una redWiFi pblica y gratuita)

    Efectivamente, no parece ser nada nada seguro, pero como estoy curiosn curiosn conmi desconocido sweetie, decido crearme una cuenta de correo aqu, aunque el dominiosupongo que ser algo as como [email protected], ligeramente diferente a [email protected]

    Lo mismo est todo perdido y tengo que limitarme a borrar el correo ahora s! Antes detener un disgusto haciendo clic en el hipervnculo

    Pues hala! Vamos a registrarnos

    Pgina 6

    Pgina de login/registro del proveedor de correo

  • Destripando un e-mail sospechosogoigon.blogspot.com

    Si esto cuela, con datos tan sumamente incongruentes como el del cdigo postal, pas yhuso horario miedo total! Eso s, el Captcha que ponen como Security Code me da unacierta garanta de que no pueden registrarse bots automticamente

    Y tras leerme lo del Uso Adecuado, Trminos de Servicio, Disclosures y Poltica dePrivacidad hago clic en el botn de continuar Para llegar a un lugar maravilloso dondeemple un rato jugando con las opciones hasta conseguir lo que quera: una cuenta decorreo como la de mi secreto admirador...

    Pgina 7

    Formulario de registro de cuenta de correo electrnico

  • Destripando un e-mail sospechosogoigon.blogspot.com

    Esto es nivel: puedo elegir el nombre de dominio en funcin de Categora y Subcategorapara que mi cuenta de correo refleje fielmente mis intereses

    Pgina 8

    Eligiendo mi nombre de dominio

  • Destripando un e-mail sospechosogoigon.blogspot.com

    Y ya est. Ahora, a ver si entramos y funciona

    Y parece que s, que entramos; an cuando nuestros datos viajan en claro. Ya lo he dichoverdad?

    Dentro estamos, pero enviar y recibir correos?

    Pgina 9

    Registro completo

    Login

    Pantalla principal del gestor de correos electrnicos

  • Destripando un e-mail sospechosogoigon.blogspot.com

    Pues s: recibe y enva correos; lo que ha dado lugar a escribir esta entrada de blog, estemanual tan, tan elemental pero que me aporta la certeza suficiente para descartar porfin! ese correo raruno. Y es que si yo he podido generarme una identidad tansumamente ofuscada qu no sern capaces de hacer los malos-malotes?

    Con lo anterior creo que tenis suficientes datos para ser capaces de destripar un correoelectrnico sospechoso sin morir en el intento!

    Espero y confo en que os sea til.

    Un cordial saludo,

    Pedro.

    P.D.: Tened mucho cuidado ah fuera!!

    Pgina 10

    Correo recibido