destripando un correo electrónico sospechoso

10
Destripando un e-mail sospechoso goigon.blogspot.com Septiembre, 2016 Comienza un nuevo curso escolar, podríamos decir que también un nuevo curso laboral y una nueva cuesta económica al enfrentarnos a todos los gastos que un inicio conlleva. Y un incremento de correos “raros” que de cuando en cuando aparecen en nuestros buzones de entrada entre los que destacan los sempiternos correos de personas que están locas por nuestros huesos y todo aquello que los recubre… Y nos mosquea ¿no? Aunque, reconozcámoslo, es normal que los recibamos porque estamos como quesitos, como yogurines ¡vamos! Pues va a ser que no. Que quien está loco por nosotros no lo está por nuestros huesos, sino por nuestros dispositivos y, en definitiva, por nuestra cartera. Hoy vamos a alimentar un poco nuestro ego y no precisamente por lo buenos que estamos, sino porque vamos a intentar ser un poco más listos que el malo que nos manda esos correos con aviesas intenciones. Pues sí. Y muy sospechoso. Lo inmediato es eliminarlo y después vaciar la papelera, pero hoy vamos a destriparlo. Comenzamos por sospechar de la forma de escribir, que si bien no es un inglés académico, es un llamémosle slang que podría colar si no fuera porque tiene símbolos raros: asteriscos, ceros, unos, más asteriscos… No es idioma hacker, no; es una simple treta para que los programas anti-spam o filtros parentales no detecten determinadas palabras que suelen estar relacionadas con Página 1 Correo (sospechoso ¿no?) recibido ¿Será idioma "hacker"?

Upload: pedro-gonzalez

Post on 16-Apr-2017

56 views

Category:

Internet


0 download

TRANSCRIPT

Page 1: Destripando un correo electrónico sospechoso

Destripando un e-mail sospechosogoigon.blogspot.com

Septiembre, 2016

Comienza un nuevo curso escolar, podríamos decir que también un nuevo curso laboral yuna nueva cuesta económica al enfrentarnos a todos los gastos que un inicio conlleva. Yun incremento de correos “raros” que de cuando en cuando aparecen en nuestrosbuzones de entrada entre los que destacan los sempiternos correos de personas queestán locas por nuestros huesos y todo aquello que los recubre… Y nos mosquea ¿no?Aunque, reconozcámoslo, es normal que los recibamos porque estamos como quesitos,como yogurines ¡vamos!

Pues va a ser que no. Que quien está loco por nosotros no lo está por nuestros huesos,sino por nuestros dispositivos y, en definitiva, por nuestra cartera.

Hoy vamos a alimentar un poco nuestro ego y no precisamente por lo buenos queestamos, sino porque vamos a intentar ser un poco más listos que el malo que nosmanda esos correos con aviesas intenciones.

Pues sí. Y muy sospechoso. Lo inmediato es eliminarlo y después vaciar la papelera, perohoy vamos a destriparlo.

Comenzamos por sospechar de la forma de escribir, que si bien no es un inglésacadémico, es un llamémosle slang que podría colar si no fuera porque tiene símbolosraros: asteriscos, ceros, unos, más asteriscos…

No es idioma hacker, no; es una simple treta para que los programas anti-spam o filtrosparentales no detecten determinadas palabras que suelen estar relacionadas con

Página 1

Correo (sospechoso ¿no?) recibido

¿Será idioma "hacker"?

Page 2: Destripando un correo electrónico sospechoso

Destripando un e-mail sospechosogoigon.blogspot.com

correos basura, como “Fuckbuddy”, “surprise”, “sex”… Cambiando algún carácter porotro símbolo muuuy parecido nosotros lo leemos igual, pero para una máquina, para unprograma de ordenador no coincide con ninguna entrada de su lista negra y lo dejapasar. Y nos llega.

Otros detalles que nos tienen que poner sobre alerta son:

• no conozco al remitente (y si conociera el nombre del o de la tal “Oasis Gee” eso

tampoco me asegura que sea quien dice ser)

• no viene mi nombre ni mi apellido: soy “sweetie” (si es que estoy tan, tan, tan…).

Esto es importante.

• en lugar de darme la información/producto/¡¡fotos!! que me ofrecen me piden ir a

una web ¿desconocida? Sugiriéndome pinchar en *see them here*. Mmm

No. No pinta bien. Así que vamos a mirar por detrás, a ver que podemos encontrar.

Todas las aplicaciones de correo electrónico tienen una opción que permite ver la“fuente” del mensaje, es decir, todo lo que realmente viaja con ese correo electrónicoque recibimos tan clarito y tan bien organizado. Obtendremos algo así:

Página 2

Código fuente del mensaje de correo

Page 3: Destripando un correo electrónico sospechoso

Destripando un e-mail sospechosogoigon.blogspot.com

Y ¡anda que no hay cosas raras! Pero para nuestros fines nos basta con fijarnos en unaspoquitas.

• La primera es el remitente (Return-Path), o quien nos manda el correo.

• La segunda que nos va a dar información es la dirección IP del proveedor, la

dirección desde la que ha salido el correo.

• Y la tercera es la dirección web a que nos manda el enlace. En este caso,

mosquean dos cosas: una, que es una dirección acortada; dos, que es de undominio .ru (Rusia) ¡miedito!

Estas tres cositas deberían hacernos eliminar ya el correo, sin más; pero hoy estamoscuriosones, y queremos saber algo más… ¡antes de borrarlo!

Así, comenzamos con la dirección IP de la máquina (que hasta parece legítima) desde laque nos mandan el correo.

No pinta mal ni sospechoso en principio, aunque la IP pueda, perfectamente, estarenmascarada y el correo haber sido enviado a través de un ordenador conectado a unproxy o a la red TOR (que es lo que hacen los malos). Suponiendo que la IP no estéfalsificada, este correo nos lo están mandando desde una población del estado de Texas(USA) llamada Lubbock. ¿Has estado alguna vez? Yo tampoco.

Página 3

Identificando la IP de origen

Page 4: Destripando un correo electrónico sospechoso

Destripando un e-mail sospechosogoigon.blogspot.com

Toca, pues, pasar esa dirección IP por algún motor que nos informe si se tienenreferencias de que desde ella se esté enviando spam o, directamente, malware.

Y sigue sin pintar bien: claroscuros en dos diferentes sitios web de referencia, lo que nome termina de tranquilizar, no.

Página 4

Información sobre la dirección IP

Page 5: Destripando un correo electrónico sospechoso

Destripando un e-mail sospechosogoigon.blogspot.com

Esta no nos aclara nada, nos deja al cincuenta por ciento de dudas, por lo que acudimos aotra…

Esta ya parece que pinta más verde, pero el mero hecho de que haya algunos puntosrojos me continúa dando mala espina, así que lo dejo y me voy a investigar muy porencima la dirección de correo del remitente. Y digo que muy por encima porque

Página 5

Segunda consulta de IP

Page 6: Destripando un correo electrónico sospechoso

Destripando un e-mail sospechosogoigon.blogspot.com

seguramente sea un mail desechable, con el que no merece la pena emplear tiempohaciendo uso de otras herramientas de OSINT que nos pueden arrojar mucha luz sobreun perfil digital.

Como la dirección es algo así como galimatí[email protected] el primer paso es buscarel dominio; o sea, lo que hay a la derecha de la @.

Este, como tal, no existe, pero vemos que depende de uno que tiene pinta de “aquí no sehacen demasiadas preguntas”, lo que no contribuye precisamente a tranquilizarnos ¿oestaremos confundidos?

¿No te parece que pinta raro? ¿No te has dado cuenta de que falta “el candadito” delantede la dirección? Esa ausencia significa que tus datos de usuario/contraseña viajan enclaro a través de Internet, disponibles para cualquiera (y ya si te conectas desde una redWiFi pública y gratuita…)

Efectivamente, no parece ser nada nada seguro, pero como estoy curiosón curiosón conmi desconocido sweetie, decido crearme una cuenta de correo aquí, aunque el dominiosupongo que será algo así como [email protected], ligeramente diferente a migalimatí[email protected].

Lo mismo está todo perdido y tengo que limitarme a borrar el correo ¡ahora sí! Antes detener un disgusto haciendo clic en el hipervínculo…

Pues ¡hala! Vamos a registrarnos…

Página 6

Página de login/registro del proveedor de correo

Page 7: Destripando un correo electrónico sospechoso

Destripando un e-mail sospechosogoigon.blogspot.com

Si esto cuela, con datos tan sumamente incongruentes como el del código postal, país yhuso horario… ¡miedo total! Eso sí, el Captcha que ponen como Security Code me da unacierta garantía de que no pueden registrarse bots automáticamente…

Y tras leerme lo del Uso Adecuado, Términos de Servicio, Disclosures y Política dePrivacidad hago clic en el botón de continuar… Para llegar a un lugar maravilloso dondeempleé un rato jugando con las opciones hasta conseguir lo que quería: una cuenta decorreo como la de mi secreto admirador...

Página 7

Formulario de registro de cuenta de correo electrónico

Page 8: Destripando un correo electrónico sospechoso

Destripando un e-mail sospechosogoigon.blogspot.com

Esto es nivel: puedo elegir el nombre de dominio en función de Categoría y Subcategoríapara que mi cuenta de correo refleje “fielmente” mis intereses…

Página 8

Eligiendo mi nombre de dominio

Page 9: Destripando un correo electrónico sospechoso

Destripando un e-mail sospechosogoigon.blogspot.com

Y ya está. Ahora, a ver si entramos y funciona…

Y parece que sí, que entramos; aún cuando nuestros datos viajan en claro. Ya lo he dicho¿verdad?

Dentro estamos, pero ¿enviará y recibirá correos?

Página 9

Registro completo

Login

Pantalla principal del gestor de correos electrónicos

Page 10: Destripando un correo electrónico sospechoso

Destripando un e-mail sospechosogoigon.blogspot.com

Pues sí: recibe y envía correos; lo que ha dado lugar a escribir esta entrada de blog, estemanual tan, tan elemental pero que me aporta la certeza suficiente para descartar ¡porfin! ese correo “raruno”. Y es que si yo he podido generarme una identidad tansumamente ofuscada ¿qué no serán capaces de hacer los malos-malotes?

Con lo anterior creo que tenéis suficientes datos para ser capaces de destripar un correoelectrónico sospechoso… ¡sin morir en el intento!

Espero y confío en que os sea útil.

Un cordial saludo,

Pedro.

P.D.: ¡¡Tened mucho cuidado ahí fuera!!

Página 10

Correo recibido