Hoy al revisar mi correo, me percate que me llego un email al inbox de mi cuenta en hotmail, con el remitente:
Banco de Chile (serviciodetransferencias@bancochile.cl),
algo extraño para mi ya que no poseo cuenta en dicho banco. Veamos la apariencia del contenido del mensaje.
La verdad a simple vista es bastante realista, el motivo del correo es por "razones de seguridad", donde dice que es necesario confirmar un ceular y observamos que todas las imagenes y links apuntan al sitio:
http://trendities.com/wp-includes/js/jcrop/ , sitio que nos redirecciona automaticamente a donde se encuentra el sitio fraudulento :
http://tslpdx.org/Dir/ww3.bancochile.cl
---------------------------------------------------------------
Volviendo al tema del remitente: serviciodetransferencias@bancochile.cl
es bastante extraño y podriamos suponer un email spoofing veamos el source del correo:
---------------------------------------------------------------------------------------
x-store-info:J++/JTCzmObr++wNraA4Pa4f5Xd6uensxNRGNyaWNye2KGQMBL0mDAyfsLk47KxnCeC5gevrzet+jPjTzcwCjyfOYkAjKVEfGj8orz6lRlSAnMquNhlXj4NLjCu9QX9DkyOZnFRQbMQ=
Authentication-Results: hotmail.com; sender-id=temperror
(sender IP is 85.114.133.90)
header.from=serviciodetransferencias@bancochile.cl; dkim=none header.d=bancochile.cl; x-hmca=none
X-SID-PRA: serviciodetransferencias@bancochile.cl
X-SID-Result: TempError
X-DKIM-Result: None
X-Message-Status: n:0:n
X-AUTH-Result: NONE
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtHRD0xO1NDTD0y
X-Message-Info: aKlYzGSc+Lm+Zf+AatNrv8l3z1l4w8fZKNzDhsgC15ic+xR7MztIHsgQfBDGgfWr6t9Etwmz7OYhYMm3BZb5XCESBUj0UlSMi5y0cKI633RYJDiUPSH4Cc4y5F/T3xNZGT4ftS+wlAFUgf/kypZJvA==
Received: from rotzleffl.de ([85.114.133.90]) by COL0-MC4-F45.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Thu, 9 Aug 2012 08:11:36 -0700
Received: by rotzleffl.de (Postfix, from userid 65534)
id 5BE6E72A1CD; Thu, 9 Aug 2012 17:07:04 +0200 (CEST)
To: MICORREO@hotmail.com
Subject: Ingrese a su Cuenta Nuevos servicios
From: Banco de Chile <serviciodetransferencias@bancochile.cl>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html; charset=iso-8859-1
X-Priority: 1
X-MSMail-Priority: High
Content-Transfer-Encoding: 8bit
X-Mailer: My mailer
Message-Id: <20120809150709.5BE6E72A1CD@rotzleffl.de>
Date: Thu, 9 Aug 2012 17:07:04 +0200 (CEST)
Return-Path: nobody@de
X-OriginalArrivalTime: 09 Aug 2012 15:11:37.0320 (UTC) FILETIME=[456AEE80:01CD7641
----------------------------------------------------------------------------------
Email Spoofing:
La Sender IP (85.114.133.90): resuelve el sitio rotzleffl.de
que corresponde al siguiente sitio
Otra parte del contenido que me llamo la atencion fue el
"by COL0-MC4-F45.Col0.hotmail.com" , y con la ayuda de San Google
nos damos cuenta que cada resultado de la busqueda tiene relaciones
con phishing scams spam y sitios fraudulentos.
-----------------------------------------------------------
Siguiendo con el sitio al cual fuimos direccionados:
http://tslpdx.org/Dir/ww3.bancochile.cl
Nos encontramos con el sitio fraudulento:
El sitio fraudulento nos redirecciona nuevamente al pasar un par
de segundos a:
http://tslpdx.org/Dir/BancoChile/enter.php
http://tslpdx.org/Dir/BancoChile/contact.php
http://tslpdx.org/Dir/BancoChile/Process.php
http://tslpdx.org/Dir/BancoChile/login.php
http://tslpdx.org/Dir/BancoChile/entrar.php
http://tslpdx.org/Dir/BancoChile/user.php
http://tslpdx.org/Dir/BancoChile/actualizar.php
Aleatoriamente cada vez que somos redireccionados nuevamente
desde http://tslpdx.org/Dir/ww3.bancochile.cl
al realizar otro request al mismo sitio.
Saludos.
No hay comentarios:
Publicar un comentario