Análisis de correos electrónicos: MercadoPago

Hoy estaba trabajando muy concentrado, cuando me llega un correo de mercadopago diciendo que alguien me transfirió dinero, un correo a mi cuenta. Obviamente era una estafa que desarrollare a continuación.

Las dos imágenes que vana ver a continuación representan el mismo correo pero visto desde dos visores de correos diferentes, el primero es desde la propia pagina de Microsoft y la segunda del visor que uso instalado en la laptop.

Coloque las dos imágenes para que se aprecie cuan autentico se puede ver en un lugar u otro (esto depende de varias cosas, una de ellas como se confecciono el template).

ACLARACION: este análisis lo estoy realizando en un entorno seguro aislado de mi equipo principal

Como ustedes ven en uno de los dos dice que lo envío MercadoPago y en otro visor desglosan el Nombre del sender y el correo para distinguirlo MercadoPago mostlane1@euroelectrica.com.mx

Ahi ya tenemos el primer punto para sospechar no? Porque MercadoPago utilizaría otra cuenta que no tiene su dominio incluido en su correo (el dominio es lo que va después del @ para los que no sepan, ya hare algún post explicando mas)

Luego en Responder a o Reply To los genios SI pusieron una casilla de correo de mercadopago (no-reply@mail.mercadopago.com) como para disfrazar un poco la estafa.

Haciendo un poco de investigación, nada técnico, nada difícil es buscar ese dominio, si tiene alguna pagina asociada, si es legitima, cuando se creo y demás.

Como lo busque? En google, simplemente escribí el dominio y apareció su pagina real.

Y esto me lleva a pensar que quizás el correo es una cuenta de correo robada y alguien esta enviando correos spam y su dueño no se esta enterando.

Si ustedes no tienen la posibilidad de tener un equipo o VM seguro que este aislado de su equipo principal, antes de visitar cualquier pagina de la que sos pechamos pueden usar https://urlscan.io, entran copian la pagina le dan en Public Scan y les devuelve toda la data necesaria aparte de una imagen.

Una vez terminado esto vemos que en el cuerpo del correo dice DESCARGAR DOCUMENTO, y yo me pregunto, para que voy a querer descargar un comprobante si dentro de MercadoPago están todos los registros. Acá es donde aun mas podemos dudar porque aparte de la ventana emergente en nuestro dispositivo cuando nos transfieren, es verificar entrando a la Fuente principal, en este caso la app movil o la pagina oficial.

No recomiendo hacer click sobre el link, NUNCA. Pero si pasar el puntero sobre el enlace para ver la url, eso se llama hacer HOVER. También podemos hacer click derecho, copiar la url y pegarla en urlscan.io para ver que nos muestra.

Y en este caso no hay tal pagina, lo que me da a pensar que dieron de baja el contenido o bien enviaron el link sin publicar nada en la pagina para que ningún AntiSpam lo detecte y una vez que llego publican el contenido. Pero bueno, no hay nada, podríamos investigar mas, fecha de creación seria clave.

Pocos días, 16 días de antigüedad, es decir, muy falsa.

Y aca terminaría todo no? Si bien es fácil de analizar porque parece obvio, nada es obvio y siempre es mejor desconfiar de estos correos.

Espero que haya sido lo bastante claro de entender, no vimos nada técnico, simplemente lo visual que con eso alcanza y sobra ( en este caso…..)

Correo catalogado como Phishing.

K.