Ayer recibí un email de BANORTE donde me decían que mi cuenta se había bloqueado por una transacción fraudulenta e inmediatamente entre en pánico... NO PUEDE SER ME ESTAN ROBANDO MI DINEROOOO.......... y en un segundo recobre mi tranquilidad ya que me dije: " Rodolfo, yo no tengo cuentas en BANORTE" A jijo entonces empecé analizar el email y esto fue lo que encontré:
Primeramente lo que hice fue analizar el email y lo que decía y además ver cuantos links o acceso al exterior venían incluidos en el email:
Primeramente lo que hice fue analizar el email y lo que decía y además ver cuantos links o acceso al exterior venían incluidos en el email:
El cual me pide que por motivos de seguridad verifique mis datos porque eh sido bloqueado jejejejeje pero al poner el link encima de link ese miren lo que aparece en la parte inferior izquierda de mi pantalla:
http://kcn.my/includes/bal01.html
Nota: para evitar eso hubieran usado onmouseover para que saliera el link banorte.com y se la creyera mas el cliente que es verdadero. :p
Un link que no es de BANORTE woowwwwww se quieren poner berracos los que crearon este SPAM pero se les olvido ocultar esa parte de que no aparezca el link verdadero a donde te redirigirá al darle click y con eso estos creadores de este spam cayeron de mi gracia por que son chafas al no preveer este error que hace que a leguas se vea que no es real el email.
de ahí lo que hice fue seguir viendo el email y me encontré mas link que redirigen al mismo link:
- Términos legales
- Aviso de privacidad
- www.banorte.com
Neta chavos que no pueden hacer bien las cosas para engañar mejor a la gente? jajajajajajajaj.
ANALIZANDO LA CABEZERAS Y BODY DEL EMAIL
Una vez hecho ese análisis a simple vista me puse a ver toda la estructura interna del email y encontré esta primera cosa:
Pues si amigos el emial fue enviado de SUPPORT@VILLE-LECHAMBONFEUGEROLLES.FR jajajaja no mam.... ya ni la burla perdonan los spammers esto a leguas dice que no es verdadero y entonces hacemos una búsqueda rápidamente en google del dominio y miren lo que me encontré:
jajajajja una comunidad francesa, a chingao allá tiene sucursales BANORTE? ahora si les queda a los creadores de este email spam el nombre de este pueblito frances.....
CHAMBON-NES haber si hacen las cosas bien. :p
Sigamos analizando, una vez hecho esto revise mas abajo los links a donde redirigía y miren:
Ahora analizemos el dominio KCM.my y encontramos esto:
El sitio esta OFFLINE pero los folder donde esta el archivo BAL01.HTML están activos:
Uff creo que ahí la llevamos continuemos analizándolo.......
de ahí veo algo peculiar que es un dominio:
Le hago un WHOIS y veo que fue creado en GODDADY:
y podemos ver también que esta registrado a nombre de Salvador sierra Hernández.
y amigos esto a leguas se ve que es un SPAM
PERO MUY MAL HECHO.
Suerte para la próxima spammer´s y hechenle mas ganas en hacer mejor las cosas...... ;p
Saludos -> Asesoria en Seguridad, Conferencias, ! contactenme !
Li. Rodolfo H. Baz
www.rodolfohbaz.net
www.ccat.edu.mx
Increible la forma de desenmascarar los spam, Lic. hace apenas unos dias realizo una certificacion en mi escuela, aqui en Teziutlan Pue. me hubiera gustado estar presente pero por motivos mayores no pude, espero en algun futuro poder asistir a alguna certificacion, por cierto le envie la solicitud de amistad en Facebook, espero y la acepte. Buen dia
ResponderEliminarHubiera asistido se puso bueno el curso con varias técnicas que vimos en la certificación.
EliminarExtraordinario aporte, cuándo se anima a mostrar el proceso que usó para descubrir éste Spam? Saludos.
ResponderEliminarel proceso esta explicado en el articulo saludos
ResponderEliminar