Editado 29-10-2010 12:29
Editado 29-10-2010 12:29
El spoofing es una técnica fraudulenta que consiste en la suplantación de identidad, y puede ser de distintos tipos: de IP, Web, DNS, email…
En el caso que publicó igrgavilan podríamos estar hablando de un spoofing de email: suplantación de la dirección de correo, normalmente para el envío de spam, hoax (bulos o noticias falsas) y phishing.
Es habitual el uso de traductores automáticos en la redacción de este tipo de correos y, por ello, contienen errores de lenguaje.
Un ejemplo de spoofing recibido en Centro Némesys, ocultando la identidad del remitente y destinatario, es el siguiente:
************
Subject: El trabajo hermoso en la crisis!
Soy representante de una firma internacional seria.
Estoy ocupando el cargo de Directos para asuntos de seleccion de personal de la firma.
Nuestra firma se desarrolla en diferentes direcciones, incluyendo entre ellas:
- Bienes inmobiliarios
- Fundacion y supresion de las empresas (tanto en el territorio nacional como en el extranjero)
- Apertura y acompanamiento de las cuentas bancarias
- Logistica
- Servicios de negocio privado.
Actualmente estamos creando en Espana un equipo de nuestros gerentes.
El salario mensual es de 2,488 EUR + regalia.
Ocupacion no completa
Horario de trabajo variable
Si nuestra oferta le interese a Ud., por favor m?ndenos los siguientes datos a la direccion: Valda@trabajo-es-pt.net
Nombre completo
Pais de
Ciudad
E-mail:
Telefono*:
!Atencion! Estamos buscando a la gente que tenga derecho de trabajar en Espana y Portugal.
* Es deseable nos indique el telefono para que nuestro gerente pueda llamarle a Ud. por telefono para dar una entrevista.
Atentamente,
Director de cuadros
************
Si recibís algún spoofing podéis comunicárnoslo, enviando la cabecera oculta del correo recibido según os contamos en uno de nuestros post, a una de nuestras direcciones de correo nemesys@telefonica.es o abuse@movistar.es
y lo trataremos o remitiremos, si no es nuestro, al ISP correspondiente.
Un saludo y buen fin de semana.
Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.es, abuse@movistar.es o en el formulario Némesys
También te invitamos a seguirnos en Twitter, Facebook y Google+.
Editado 05-10-2010 2:01
Editado 05-10-2010 2:01
Así lo hare cuando vuelva a recibir otro Spam de mi mismo.
Por otro lado aunque no respondamos con nuestros datos podemos caer en la tentacion de responder al individuo insultando, recriminandole etc.
No se os ocurra hacerlo porque aunque le digamos que le vamos a denunciar, les va a dar igual y por otro lado de eśa manera con el correo recibido obtienen tu IP lo que les facilita las cosas y realizar verdaderos ataques.
Estimados todos,
Tengo una cuenta de telefonica net, que es la principal para mis datos y demas en moviestar, el problema es el siguiente recibo a mi cuenta correo de publicidad como si los hubiera enviado yo mismo, el caso es que tengo el nod 32 antivrus y cortafuego, ademas he cambiado la clave de dicha cuenta, porque puede ser que me lleguen correo de publicidad así, si yo no los mando,
Espero que me puedad ayudar
Saludos cordiales
Hola, kar1968,
Esto que nos comentas es un caso de spoofing de e-mail. Es una técnica fraudulenta que consiste en la suplantación de la dirección de correo, normalmente para el envío de spam, hoax (bulos o noticias falsas) y phishing.
¿Qué puedes hacer? ,
-marca estos mensajes como spam en el correo de telefonica.net.
-elimina los correos que te lleguen sin abrirlos, por supuesto no responder nunca a este tipo de mensajes.
-asegúrate de que tu equipo no está infectado por algún virus o troyano.
-y envíanos la cabecera oculta del correo recibido según os contamos en uno de nuestros post, a una de nuestras direcciones de correo nemesys@telefonica.es o abuse@movistar.es y lo trataremos o remitiremos, si no es nuestro, al ISP correspondiente.
Un saludo
Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.es, abuse@movistar.es o en el formulario Némesys
También te invitamos a seguirnos en Twitter, Facebook y Google+.
Gracias tomo nota desde que me llegue de nuevo haré lo que dices
Saludos cordiales
No todas las cuentas de correo permiten ver el texto completo del mensaje, para solucionarlo hay que hacer lo siguiente
-Accede desde tu navegador a la pagina http://mail2web.com
-Accede a "advanced login"
-Pon tus datos y el nombre del servidor pop de tu cuenta de correo
-Accede al correo sospechoso
-accede a "view source" (Inglés) o "ver origen" (español)
-Copia el texto que tiene la fuente "courier new" ESTE TEXTO ESTA EN COURIER NEW
-despues dale a "New Message" (Ingles o a "nuevo mensaje" (Español)
-Pon el apartado To: el siguiente email: nemesys@telefonica.es y pon en el cuerpo del mensaje el texto en Courier new
-Pulsa "send" (Inglés) o "enviar" (Español) para enviar el mensaje.
(Esto funciona en todas las cuentas de correo, simplemente hay que saber cual es el servidor POP o IMAP correspondiente) Ej: el servidor POP de movistar es pop3.movistar.es
Hola,
Tenía la seria sospecha, pero desde ayer estoy completamente seguro: mi cuenta en 'Telefónica.Net' ha sido tomada por los 'spammers'. Supongo que algún tipo de virus o similar ha cogido la password y todas las direcciones de mi libreta de correos y se dedica a enviar spam en mi nombre.
Ayer lo confirmé porque ´recibí un correo 'spam' procedente ... de mi mismo.
Supongo que relacionado con esto, hace unos días fui a dejar comentario en un blog y no me dejó porque decía que mi dirección estaba identificada como una fuente de 'spam'.
La pregunta evidente es: ¿qué hago?
Sólo se me ocurren dos acciones pero no estoy seguro de que sean suficientemente efectivas:
(1) Pasar todo tipo de antivirus a mi PC (uso la versión gratuita de Avast)
(2) Cambiar la contraseña de mi cuenta desde un equipo fiable
¿Alguna otra sugerencia? Y, una vez que logre estar 'limpio' (por cierto, ¿cómo lo sabré?), ¿cómo podría desaparecer de esa lista de 'spammers' ?
Muchas gracias.
Editado 06-08-2010 11:09
Editado 06-08-2010 11:09
Buenas igrgavilan
Ejecuta en tu Windows (no puede ser otra cosa ) desde cmd el comando winver.
Mira qué versión es y qué Service Pack tienes.
Si es superior a XP SP2 ejecuta desde cmd este otro comando netstat -nb 30 >> conexiones.txt
Al cabo de 3 ó 4 minutos para el cmd "Ctrl-C" y mira en tu escritorio el archivo conexiones.txt
Pégalo en un post y te lo leo, a ver que veo.
Saludos.
Muchas gracias Cristofer.
En efecto... es Windows. Seguiré tu sugerencia y acepto gustoso tu ayuda pero tengo un problema (si s que se le puede llamar así) y es que estoy de vacaciones y no tengo a mano el ordenador 'sospechoso'. hasta dentro de unos cuantos días no podré seguir tus indicaciones.
Cuando pueda, hago lo que me indicas y me pong0o en contacto contigo.
No le hagas un cmd a la arena de la playa que te quedas "marcao" para siempre en el Hotel, jejeje!!!!
Te anticipo que "carayo te he pediro" pues a veces me paso de esotérico jeje!!!!
netstat => esto es una herramienta accesible desde línea de comandos que sirve para listar nuestras conexiones, y dependiendo del atributo/s que le ponga luego, mostrará una u otra cosa.
¿Qué atributos te he pedido?
El n => Lista por numero de IP y no por nombre de los hosts
El b => Este necesita SP2 Windows XP, por eso te pedí lo del Winver, porque no dices que SSOO es. La b muestra el proceso que genera cada sesión. Estoy es muy importante.
Luego he puesto un tiempo de 10 segundos creo recordar que es para que repita el netstat cada 10 segundos
el >> es un redireccionador. La salida estándar es la pantalla, pero se pongo el >> y seguido un nombre, por ejemplo "resultado.txt" me lo guarda en archivo, y no sale en pantalla. La doble >> es porque con una sola > borraría todo la anterior cada 10 segundos y con el >> le digo que no borre y que escriba a continuación.
Otra posibilidad más bonita para el usuario de a pie es instalarse el tcpview del señor Rusinovich que ya es un programa comprado por Microsoft.
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
Muy bueno, altamente recomendable.
Y con el resultado de la consola en txt o con el tcpview fíjate si en destino, despues de las ips qué puertos aparecen, si sale mucho x.x.x.x:25 (las x es cualquier IP) lo importante es el 25, fíjate en qué programa maldito te genera tanto saliente por el puerto 25 y lo demás es sencillo.
Disfruta del verano!!!!!!
¡Hola igrgavilan!,
quisiera ayudarte en lo posible, a ver si lo consigo y vamos introduciendo algo de culturilla en seguridad, que es lo que realmente puede hacer que le mundo digital sea más seguro.
lo primero es comentarte que quizás tus temores sean infundados, pues el hecho de recibir un correo desde tu misma cuenta no quiere decir que hayan conseguido comprometer tus credenciales. Falsifirmar el remitente es muy fácil, de forma que lo más probable es que hayan falsificado el remitente y para llamar tu atención (¡y vaya si lo han conseguido!) han puesto tu misma dirección.
En cualquier caso te propongo valores lo siguiente y en función de esto dictamines. Para robar tus credenciales básicamente existen tres posibilidades:
Si todas las respuestas son negativas, simplemente no te preocupes. Tus credenciales no han sido robadas.
En cualquier caso, cambiar las mismas y el procurar elegir una contraseña robusta, es una medida que te evitará problemas.
Otra aclaración: ese blog que no te dejó comentar porque decía que tu dirección estaba identificada como fuente de spam no tiene nada que ver con el supuesto robo de credenciales Telefónica Net, pues date cuenta que cuando emites correo vía Telefónica Net no lo haces desde tu IP de casa, sino desde la IP de los servidores de Telefónica Net, que nada se parece. En realidad se refieren a la IP con la que estás navegando y conectando a ese foro, que es la IP que tiene asignada tu router ADSL. ¿Es IP fija o dinámica?, si fuera dinámica, podrías haber tenido mala suerte y haberte tocado la IP de algún usuario infectado que haya emitido recientemente spam. Las direcciones IP se actualizan más o menos cada 5 días. Aunque si apagas el router durante 5 minutos y lo vuelves a encender conseguirás una nueva IP.
De todas formas, me parece extraño que un blog no te deje publicar por emisión de spam. Quizás no sea spam clásico y estás infectado con alguna variedad de malware que es un spammer de foros web. Coméntame los resultados del antivirus, cambia tu IP, y consulta alguna lista negra con la nueva IP tras unas horas (mejor un día) a ver si has entrado.
Si tienes cierto conocimiento de informática, instalando un sniffer tipo WireShark podrías observar el tráfico saliente de tu equipo hacia puerto 25 de correo y comprobar si estás emitiendo spam. ¿Te atreves?.
Un saludo, ya me cuentas.
A base de entrar a este foro a administrar al final voy a aprender a administrar y de seguridad, informática, tvip ....
jejejejejeje fripo
Ante todo gracias por las sugerencias y ayudas y disculpas por hasta ahora no haber dado señales de vida.
Voy a ir probando y os voy contando.
Antes de probar, te contesto algunas cosas, Saeba:
(bueno, lo primero gracias)
- Contraseña robusta: bueno... creo que regular. Las hay peores pero tambiñen es mejorable...
- Phishing: dudo mucho que sea por phising. Soy cuidadoso con eso...aunque nunca sabes cuando te 'la pueden colar'.
Las opciones que más posibles me parecen son las del troyano o la de que, realmente no hayan robado las credenciales y, simplemente, hayan falsificado el remitente.
Lo dicho voy probando cosas y os voy contando...
Bueno, primeros datos.
- Tengo el SP3
- He ejecutado tanto el comando netstat como el programa TCPview y no observo el uso del puerto 25 Por cierto y para aprender algo mientras tanto... ¿para qué se utiliza ese puerto? ¿Por qué es sospechoso?
Cristofer, prefiero enviaerte directamente los resultados completos. Te he enviado un mensaje privado.
En este momento estoy ejecutando activescan a ver qué pasa (con un 8% escaneado aún no ha visto nada 🙂 )
Cuando acabe (bueno, creo que ya será mañana) miraré con WireShark.
Mientras tanto, comentar que soy un 'bicho raro antediluviano' con IP fija. ¿Es eso mejor o peor de cara a la seguridad? ¿Algún consejo específico para ese caso?
Hola igrgavilán,
Antes las operadoras asignaban IP's estáticas a cualquier tipo de clientes, pero éstas son limitadas a nivel mundial y la creciente demanda obligó a reservar las Ip's fijas sólo para clientes que así lo soliciten.
La seguridad depende de lo protegidos que tengas tu red y equipos, si están bien protegidos da igual que IP tengas. En caso de captura es más vulnerable una IP fija puesto que no va a cambiar en la siguiente conexión.
De todas formas vamos a abrir un hilo con alguna información sobre IP's
Un saludo
Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.es, abuse@movistar.es o en el formulario Némesys
También te invitamos a seguirnos en Twitter, Facebook y Google+.
Muchas gracoias por la información Paloma.
A ver si miro el hilo que comentas.
Bueno, ya he pasado el ActviScan.
¿Resultado?
ActiveScan:
Bueno, a detectado 25 ficheros sospechosos o infectados. La mayoría son Cookies que, aunque en prinicpio eliminaría, no me dan sensación de peligrosas. Han aparecido tres ficheros que clasifica como 'Jokes' (no sé qué significa eso).
Y ha detectado 5 ficheros con dos tipos de troyanos: Spy.YK y CI.A
El problema es que ActiveScan (el de la web) hace la detección, pero no elimina. He pasado mi antivirus (Avast) en los directorios donde ActiveScan había detectado virus o ficheros sospechosos ¡¡¡ y no detecta ni uno de ellos !!!.
He borrado manualmente dos de los ficheros donde había troyanos porque sé que ficheros son, son ficheros de programa sencillos (sin instalación) y no me importa borrarlos. Pero los otros tres ficheros con troyanos ¿qué hago? A8parte de lo que seria el consejo de Panda que es comprarme su antivirus, claro)
WireShark:
Lo acabo de bajar e instalar. No sé si pasarlo hoy o irme a dormir y mirarlo mañana...
Gracias, Saeba.
Hago lo que me indicas y os cuento....
Editado 05-10-2010 2:05
Editado 05-10-2010 2:05
Lo de falsificar el remitente se puede hacer (no es complicado) , a mi me pasa lo mismo recibo correos de mi misma cuenta ofreciendome trabajo.
Y no es Windows porque uso Linux y el correo web de Movistar, osea que han conseguido tu direccion, muy facil si buscas empleo o te apuntas a ofertas de cursos etc y dejas tus datos en redes sociales (facebook, twitter, badoo etc).
A veces empresas sin escrupulos venden tus datos para hacer esto.