top of page
Buscar

Análisis de correos electrónicos: Saldo Pendiente

  • K
  • 21 ago 2024
  • 4 Min. de lectura

Nuevamente recibi un correo falso en mi casilla personal, pero esta no es comun. Esta va un poco mas allá de lo normal y les cuento porque a continuación.


Hace 2 años aproximadamente me hice un analisis medico y me tuvieron que realizar una imagen por control. Cuando me enviaron los resultados me pareció extraño que al hacer click se haya abierto el estudio sin pedirme usuario ni contraseña.

Investigando en la URL que me enviaron me di cuenta que simplemente cambiando un valor podia ver los resultados de análisis de otras personas.


Inmediatamente, llame al lugar y nadie me dio una respuesta.

Inmediatamente, mande un correo, y nadie me dio una respuesta.

Inmediatamente, busque personas con altos cargos y nadie me dio una respuesta.


Investigue mas y di con la empresa que estaba tras de esos análisis, mande mail, lles mostre el paso a paso y su contestacion fue, no es problema nuestro, es del cliente, nosotros ya solucionamos ese problema.


Año mas tarde siguio funcionando y lo reporte en un ente y realice el seguimiento. Nunca les contestaron y como paso mas de un año borraron la denuncia.

Dos años mas tarde, hoy en la actualidad me llego este correo, revise y sigue existiendo el "error", cuando cambias un valor de la url te devuelve no solo el analisis, si no todos los datos asociados a esa persona....Y uno de los datos menores es el correo electrónico.


Se preguntaran como se que ese correo se filtro ahi? Porque tengo correos electrónicos especificos para cada tipo de servicio que pago, que uso, que me registro y cuando revise donde estaba asociado ese correo fue en el centro medico donde me realice ese análisis.....


I N C R E I B L E


Ahora si, si ya leiste la historia de como me llega este correo, leete como analizarlo y lo peligroso que es hacer click en el enlace. (Y lo peligroso que es registrarse en lugares con nuestro correo principal)


ACLARACION: este análisis lo estoy realizando en un entorno seguro aislado de mi equipo principal


Comencemos por el principio


  • FROM: Beatriz Reyes | cfdifacturacion@vps-b980e4f5[.]vps[.]ovh[.]net


Siempre hay que ver la direccion de correo y no nos tenemos que quedar con el nombre, que se suele llamar Sender Friendly, es el nombre que se le coloca cuando creas el correo. En este caso es de un dominio que ya viene de tiempo con correos falsos. A tener en cuenta que si debes una factura de algo en especifico va a decir el Servicio y el correo electronico va a tener el nombre del servicio, es decir, si te llega la factura de TELECOM, el correo de donde te lo envian seguramente sera facturacion@TELECOM[.]com. Ninguna empresa, o casi ninguna te envía desde otra casilla de correo.


  • SUBJECT: Recordatorio de saldo pendiente  (75326470)


El asunto puede asustar, pero no tanto, es un recordatorio, no es un CORTE de servicio o algo similar y el numero se supone que es un numero de cliente?.


  • BODY: Contiene un botón que te lleva a la siguiente URL.


Nuevamente NO hagas click en correos que no sabes la procedencia. En todo caso pasa el PUNTERO sobre el botón sin dar click y si te animas para analizarla, click derecho y copias la url.


http[:]//218[.]203[.]148[.]37[.]host[.]secureserver[.]net


Lo primero que hice después de copiar la URL la copie en urlscan.io, que es una pagina símil sandbox donde pegas la url y te devuelve informacion, lo que hace basicamente es visitarla y ver el trafico. Lo que me parecio extraño es que la pagina funciona pero la imagen esta en blanco.



Intente abrirla en otra maquina virtual pero con sistema operativo Linux y me devolvio que no debia abrirla en un dispositivo movil, si no en un computadora. Estos ciberdelincuentes, están preparados.



El proximo paso fue usar un sandbox online, y saben que? tampoco funciono, en vez de aparecer la extension mobile.html, aparecía CLOSED. De verdad estan bien preparados.


El proximo paso fue abrir otra Virtual, sin ningun tipo de proteccion, solo aislada de mi equipo principal. Un Windows 7 y saben que? funciono...

Visite la pagina en un navegador y me descargo un archivo que se hace llamar "Factura" y en un archivo ZIP con caracteres diferentes a lo que un archivo normal tendría.


Cuando lo abrí, me encontré con un archivo ejecutable, es decir si le doy doble click se abre y se ejecuta como un programa, y las facturas no son asi no? Aparte nuevos cracteres atipicos.

Y cuando lo ejecute paso esto.... ( NO LO HAGAN POR FAVOR, es su responsabilidad si algo sucede) Que no paso NADA a simple vista y hasta acá analizamos el correo, porque si no entraríamos en análisis de malware y no es el fin. (Ya escribiré sobre eso)

Obviamente esto es malicioso, no es una factura por si tenían alguna duda, y lo que hice fue investigar un poco en la pagina de virustotal.com

Queria saber si ya habían subido algo despues de algunos días y poco encontre, pero encontre.

Simplemente subí el archivo ZIP, el archivo extraído y la pagina web. Y el resultado fue 4/65, es decir que no todas las empresas que estan ahi tienen alguna deteccion, que no quiere decir que las empresas no lo detecten.


En resumen, nuevamente, no hagas click, no descargues nada extraño, no uses tu correo personal para todos los servicios. Resguarda tu seguridad, desconfia de correos de este estilo. Ante la duda, consulta por los canales oficiales del servicio y no por otro medio.


Correo catalogado como Phishing con Malware.



K.

bottom of page