12. Correo

12.8. Phishing

Suplantación de identidad (phishing) El phishing es un método para engañarle y hacer que comparta contraseñas, números de tarjeta de crédito, validar mails para luego vender la base de datos y otra información confidencial haciéndose pasar por una institución de confianza en un mensaje de correo electrónico o llamada telefónica.

En este caso mostramos algunos correos que persiguen ese propósito.



Observar que el remitente dice ;


La primer parte es TEXTO, no significa nada, se puede poner cualquier cosa.. pero el mail del remitente nos da una pista de que hay algo muy raro..

El botón azul Reload Email Messages  tiene un link, si hacemos click con el botón derecho , copiamos el link y lo pegamos en un block de notas,  podemos ver el link:

https://ebhijdc.r.af.d.sendibt2.com/tr/3zi0r4MYc-aeRcqTVAZF1eQNc8WjJR8fqnzCp1vSI_brMzy9vLHpC8nSkHUWOECiBtXLd-X6829ouLtGKUOXir-_rr-1SDT_ezoNGqmgtycLoyXfJoWGUrDfGdgcZBBBFQQB-6_zsxMst0cWISRF92S_daXsMWjg1Xte3XmHHIuPcW1rdHXqxmc6ZutY-jhcgKb5LHk25sflh-XjiaSwnP#venta@refosco.com.ar

Ver que el dominio  : ebhijdc.r.af.d.sendibt2.com no tiene NADA que ver con el dominio o el hosting ( el que da el servicio de correo) .

Papeles sueltos: Preguntas de investigación

  1. Por que cree  que al final del link, aparece la dirección de correo: ventas@refosco.com.ar.
  2. ¿Que pasa si en lugar de hacer click con el botón derecho del mouse hago click con el izquierdo?

Contenido Remoto.

Vemos en la imagen, como el cliente de Correo, en este caso Thunderbird protege al usuario de contenidos remotos.  En este caso el correo es genuino, de google, podemos ver que el dominio de  remitente es google.com, pero sirve como muestra sobre el riesgo que puede tener la visualización del contenido remoto.


En este link: https://support.mozilla.org/es/kb/contenido-remoto-en-los-mensajes  podemos ver que el contenido del mail puede tener elementos que al cargarse, directamente están validando o entregando datos... por ejemplo, la dirección de correo electrónico.

Veamos que dice, sobre esto el link:

¿Qué es contenido remoto y por qué se bloquea?

El contenido remoto son partes de un mensaje (como imágenes, hojas de estilo o vídeos) que no están incluídas en el mensaje en sí, pero que se descargan de internet cuando visualizas el mensaje.

El contenido remoto influye en la privacidad, ya que permite al emisor del mensaje conocer lo siguiente:

  •     Cada vez que visualizas el mensaje
  •     Detalles aproximados sobre qué aplicación y qué plataforma estás usando
  •     Tu localización geográfica (al menos una aproximación basada en la dirección IP)
  •     Que estás utilizando tu dirección de correo (está "activa") 

Esta información es bastante similiar a la que recogen las páginas web sobre ti cuando navegas por Internet. Aunque navegar tiene las mismas implicaciones en cuanto a privacidad, lo que hace diferente la carga de contenido remoto en mensajes es que este está asociado a ti, así que tu acceso es vinculable a tu dirección de correo. Esta es la razón por la que el spam contiene a menudo imágenes remotas (conocidas como "web bugs"): permiten al spammer comprobar cada dirección y calificarla como válida siempre que la imagen llegue a cargarse. 

Veamos otro Ejemplo de mail peligroso:

Esta es la imagen de un email recibido.


Si ubico el puntero del mouse sobre el link (SIN HACER CLICK !!!) de : Descargar todos los archivos adjuntos (SIN HACER CLICK !!!) vería que en realidad NO es un archivo, si no un link a:

https://oaskfo-4twkfsnnqq-tl.a.run.app/ , esto sin duda NO es una archivo adjunto y sin duda NO es algo bueno :-) .