News

Un ejemplo clásico de phishing en Rusia

Esta mañana, me llegó a mi buzón en yandex.ru un mensaje que decía:

?Buenos días estimado usuario del servicio postal nacional Yandex.ru!

Desde hace un tiempo en el servidor de Yandex.ru han aparecido varios buzones que se usan para enviar “SPAM”. Por este motivo, hemos empezado el trabajo de detectarlos y eliminarlos del servidor.

En este momento todos los buzones que tengan nombres sospechosos, incluido el de usted, serán puestos en una “lista negra” y se le propondrá a cada usuario pasar una segunda autorización en la siguiente dirección http://r.yandex.ru/****/yandex/?id=02cfdd227b9735c35a8288f37c020cd2&p=blacklist&mt=0.090866193010010.

Luego de pasar la segunda autorización, su buzón será borrado automáticamente de la “lista negra”, ya usted habrá confirmado la lectura de esta carta, lo que no pasaría en un “buzón spam”.

Desde agosto de 2007, todos los buzones que queden en la “lista negra” se eliminarán del servidor, lo que dará un fuerte golpe a las organizaciones de spam y hará que el funcionamiento de Yandex.ru sea más limpio.

Recuerde, si le llega una carta con mensaje claramente publicitario que usted no haya solicitado, usted tiene la posibilidad de enviar una queja sobre “SPAM”. La administración de Yandex.ru estudia todas las quejas y modifica los algoritmos de filtración para los nuevos tipos de “SPAM”.

Gracias por ser usuario de Yandex.ru.

Atentamente, la administración de Yandex.ru

Como no había terminado de despertar, casi seguí las instrucciones de la carta. Pero mi sentido común fue más fuerte. Me di cuenta de que era algo sospechoso y me puse a analizar la carta. Y en efecto, si vemos la barra de estado del navegador, al poner el cursor en el inocente enlace “http://r .yandex.ru/…”, resulta que en realidad lleva a cierto sitio del sistema de hosting gratuito tu1.ru En cambio, si escribimos directamente la dirección “http://r.yandex.ru/ (o la copiamos a la ventana del navegador) resulta que tal página, como era de esperar, no existe.

Si empezamos a analizar con más detenimiento, descubrimos una serie de pequeños errores:

  • hay faltas de puntuación según las reglas de la lengua rusa;
  • es dudoso el estilo en que está escrita la carta, desde el punto de vista de la correspondencia formal;
  • la dirección de la “Administración de Yandex.ru” por alguna razón es: «postmaster@sharabee.nichost.ru»;
  • En la esquina superior derecha que se abre al pulsar el enlace “servicio de autorización de Yandex” se muestra publicidad que no existe en los servicios de Yandex.

Este es un ejemplo clásico de phishing. El phishing de los servicios rusos está poco extendido. Según recuerdo, este es el primer envío masivo de phishing a la base de direcciones de correo de yandex.ru, por lo menos de entre las que lograron evadir los filtros antispam. Gracias al “factor sorpresa”, los phishers seguramente reunirán cierta cantidad de contraseñas, a pesar de que el phishing es primitivo y poco elaborado (en particular, porque se podría haber evitado los errores indicados).

Es fácil evitar el phising si se sigue una simple regla: habiéndose asegurado de que el nombre de dominio del enlace no es falso, no pulsarlo, sino copiarlo a la ventana del navegador. Con este truco no valen ni las manipulaciones más malintencionadas de los phishers al ocultar el URL verdadero.

Pero si usted cayó en la trampa de los phishers y les envió su contraseña, cámbiela lo más pronto posible.

Un ejemplo clásico de phishing en Rusia

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada