«A la espera del pago». Espere sentado

En las últimas semanas, muchos usuarios se comunicaron con la Subsecretaría de Informática manifestando su preocupación debido al siguiente correo electrónico titulado «A la espera del pago»:

¡Hola! ¿Ha notado hace poco que ha recibido un correo electrónico desde su propia cuenta? Eso es simplemente porque tengo total acceso a su dispositivo. Llevo un par de meses observándole. ¿No entiende cómo es posible? Bueno, ha sido infectado con un malware originario de un sitio web para adultos que visitó. Por si no está familiarizado con estos temas, intentaré explicárselo. Con la ayuda de un virus troyano, puedo obtener total acceso a un PC o a cualquier otro dispositivo. Eso significa que puedo verle siempre que quiera frente a la pantalla, con solo encender la cámara y el micrófono sin que usted se dé cuenta. Además, también tengo acceso a su lista de contactos y a todos sus mensajes de correo. Puede que se pregunte: “Pero mi PC tiene un antivirus activo, ¿cómo es posible? ¿Por qué no he recibido ninguna notificación?” La respuesta es sencilla: mi malware utiliza controladores, lo que me permite actualizar las firmas cada cuatro horas y hacer que sea indetectable, y por eso el antivirus se mantiene en silencio. Tengo un vídeo en el que sale masturbándose en el lado izquierdo, y en el derecho la película que estaba viendo mientras se masturbaba. ¿Se está preguntando en qué puede perjudicarle esto? Con un solo clic de ratón, puedo enviar el vídeo a todas sus redes sociales y contactos de correo electrónico. También puedo compartir todos sus mensajes de correo electrónico y de messenger. Lo único que debe hacer para evitar que esto suceda es transferir bitcoins por valor de 750$ a mi dirección bitcoin (si no tiene ni idea de cómo hacerlo, puede abrir el navegador y simplemente buscar: “Comprar bitcoins”). Mi dirección bitcoin (monedero de bitcoin) es: 14Q7Tn8ih7GUL2AuDf1WsavawWoqBU75RQ Una vez que reciba la confirmación del pago, borraré el vídeo de inmediato, y se acabó, no volverá a saber de mí. Tiene 2 días (48 horas) para completar esta transacción. Cuando abra este mensaje de correo, recibiré una notificación y mi temporizador se pondrá en marcha. Presentar una denuncia no le servirá de nada, ya que este correo electrónico no puede ser rastreado, al igual que mi identificador bitcoin. Llevo mucho tiempo dedicándome a esto y nunca cometo errores. Si descubro que ha compartido este mensaje con alguien más, distribuiré inmediatamente el vídeo, tal como le he advertido.

BUENAS NOTICIAS: ¡Es falso!

No tiene motivos para preocuparse. Es un correo genérico enviado a miles de personas al azar. Para ponerlo en contexto: si de 50.000 personas que lo reciben, cae el 1%, pueden tener una ganancia de $375.000.

Estos criminales no tienen acceso a su computadora ni a su cuenta. Muchos utilizan este tipo de mensajes para extorsionar gente. Se aprovechan del miedo y de la urgencia para hacerles creer que deben pagar o dar información reservada para protegerse.

Suplantación de identidad o spoofing

Una de las razones por las que este tipo de correos puede resultar alarmante es que ¡llegan desde nuestra propia cuenta! Bueno… no. No exactamente. Los adversarios utilizan una técnica llamada spoofing, en la que intentan disfrazar el origen de un mensaje para hacernos creer que estamos interactuando con alguien conocido o peor aún, ¡que tienen acceso a nuestra cuenta!

Afortunadamente, tenemos muchas formas de verificar la legitimidad de los correos oficiales. Podemos decir con confianza que estos mensajes no fueron enviados desde nuestro servidor y que sus cuentas están a salvo.

Detalle

El ejemplo incluido al comienzo de este artículo fue enviado desde una IP denunciada por intentos de phishing y envío de spam recientemente. Esto lo podemos conocer al analizar el código fuente del mensaje:

X-MDRcpt-To: informatica@santacruz.gov.ar
X-MDRemoteIP: 87.70.103.96
X-Envelope-From: informatica@santacruz.gov.ar

El encabezado X-MDRemoteIP indica la IP del dispositivo desde el que se envió el correo. Esa dirección IP se encuentra registrada en Tel Aviv, Israel. La Subsecretaría de Informática no aloja ningun sistema en Israel, por lo que se puede asumir que hay algo extraño. Es más, no hace falta asumir nada. Veamos otra sección del encabezado:

Received-SPF: softfail (santacruz.gov.ar: domain of transitioning informatica@santacruz.gov.ar
	does not designate 87.70.103.96 as permitted sender)
	x-spf-client=MDaemon.PRO.v13.5.1
	receiver=santacruz.gov.ar
	client-ip=87.70.103.96
	envelope-from=<informatica@santacruz.gov.ar>
	helo=[87.70.103.96]
X-Spam-Processed: santacruz.gov.ar, Thu, 17 Dec 2020 23:21:44 -0300
	(not processed: message from valid local sender)

Esa IP no está autorizada a enviar correos electrónicos en nombre del dominio santacruz.gov.ar. Por esa y muchas otras razones, al pasar por el filtro anti-spam del nuevo servidor de correos, es marcado como spam.

X-Spam-Flag: YES
X-Spam-Status: Yes, score=13.7 required=5.0 tests=DKIM_INVALID,DKIM_SIGNED,DOS_OUTLOOK_TO_MX,HELO_MISC_IP,HTML_EXTRA_CLOSE,HTML_MESSAGE,NO_FM_NAME_IP_HOSTN,PDS_BTC_ID,RCVD_IN_MSPIKE_BL,RCVD_IN_MSPIKE_L5,RCVD_IN_PBL,RCVD_IN_RP_RNBL,RCVD_IN_SBL_CSS,RCVD_IN_XBL,RDNS_NONE,SPF_PASS,TO_EQ_FM_DIRECT_MX,UNPARSEABLE_RELAY autolearn=no	autolearn_force=no version=3.4.2
X-Spam-Level: *************
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on
	mail.santacruz.gob.ar

Entonces, ¿qué hacemos?

La mayoría de los usuarios hicieron lo correcto: descartarlo o avisarnos. Nuestra recomendación, cada vez que reciban un correo electrónico sospechoso, es que no abran los archivos adjuntos, no accedan a enlaces y no respondan. Lo más probable es que sea un fraude o un ataque con el objetivo de obtener información privada o dinero.

Consultar a las áreas de informática es siempre lo correcto en caso de duda. Puede comunicarse con nosotros a csirt@santacruz.gob.ar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.