EL SPOOFING ESE GRAN DESCONOCIDO…

Paloma-Movistar
Experto en Ciberfraude
EL SPOOFING ESE GRAN DESCONOCIDO…

El spoofing es una técnica fraudulenta que consiste en la suplantación de identidad, y puede ser de distintos tipos: de IP, Web, DNS, email…

 

En el caso que publicó   igrgavilan    podríamos estar hablando de un spoofing de email: suplantación de la dirección de correo, normalmente para el envío de spam, hoax (bulos o noticias falsas) y phishing.

 

Es habitual el uso de traductores automáticos en la redacción de este tipo de correos y, por ello, contienen errores de lenguaje.

 

Un ejemplo de spoofing recibido en Centro Némesys, ocultando la identidad del remitente y destinatario, es el siguiente:

 

                                                         ************

 

Subject: El trabajo hermoso en la crisis!

Soy representante de una firma internacional seria.
Estoy ocupando el cargo de Directos para asuntos de seleccion de personal de la firma.

Nuestra firma se desarrolla en diferentes direcciones, incluyendo entre ellas:
- Bienes inmobiliarios
- Fundacion y supresion de las empresas (tanto en el territorio nacional como en el extranjero)
- Apertura y acompanamiento de las cuentas bancarias
- Logistica
- Servicios de negocio privado.

Actualmente estamos creando en Espana un equipo de nuestros gerentes.
El salario mensual es de 2,488 EUR + regalia.
Ocupacion no completa
Horario de trabajo variable

Si nuestra oferta le interese a Ud., por favor m?ndenos los siguientes datos a la direccion: Valda@trabajo-es-pt.net
Nombre completo
Pais de
Ciudad
E-mail:
Telefono*:

!Atencion! Estamos buscando a la gente que tenga derecho de trabajar en Espana y Portugal.

* Es deseable nos indique el telefono para que nuestro gerente pueda llamarle a Ud. por telefono para dar una entrevista.


Atentamente,
Director de cuadros

 

 

                                                          ************

 

Si recibís algún spoofing podéis comunicárnoslo, enviando la cabecera oculta del correo recibido según os contamos en uno de nuestros post, a una de nuestras direcciones de correo    nemesys@telefonica.es   o   abuse@movistar.es

y lo trataremos o remitiremos, si no es nuestro, al ISP correspondiente.

 

Un saludo y buen fin de semana.


Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es o en el formulario Némesys

También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Etiquetas (1)
Mensaje 16 de 22
14.697 Visitas
21 RESPUESTAS 21
mix
El WIFI me llevó al sofá
El WIFI me llevó al sofá

Así lo hare cuando vuelva a recibir otro Spam de mi mismo.

Por otro lado aunque no respondamos con nuestros datos podemos caer en la tentacion de responder al individuo insultando, recriminandole etc.

No se os ocurra hacerlo porque aunque le digamos que le vamos a denunciar, les va a dar igual y por otro lado de eśa manera con el correo recibido obtienen tu IP lo que les facilita las cosas y realizar verdaderos ataques.

Mensaje 18 de 22
14.440 Visitas
kar1968
Yo probé el VDSL

Estimados todos,

 

Tengo una cuenta de telefonica net, que es la principal para mis datos y demas en moviestar, el problema es el siguiente recibo a mi cuenta correo de publicidad como si los hubiera enviado yo mismo, el caso es que tengo el nod 32 antivrus y cortafuego, ademas he cambiado la clave de dicha cuenta, porque puede ser que me lleguen correo de publicidad así, si yo no los mando,

 

Espero que me puedad ayudar

 

Saludos cordiales

 

 

La paciencia es un arte y los clientes de esta empresa maestros de dicho arte.
Etiquetas (1)
Mensaje 19 de 22
14.530 Visitas
Paloma-Movistar
Experto en Ciberfraude

Hola,  kar1968,

 

Esto que nos comentas es un caso de spoofing de e-mail. Es una técnica fraudulenta que consiste en la suplantación de la dirección de correo, normalmente para el envío de spam, hoax (bulos o noticias falsas) y phishing.

 

¿Qué puedes hacer? ,

-marca estos mensajes como spam en el correo de telefonica.net.

-elimina los correos que te lleguen sin abrirlos, por supuesto no responder nunca a este tipo de mensajes.

-asegúrate de que tu equipo no está infectado por  algún virus o troyano.

-y envíanos la cabecera oculta del correo recibido según os contamos en uno de nuestros post, a una de nuestras direcciones de correo    nemesys@telefonica.es  o   abuse@movistar.es y lo trataremos o remitiremos, si no es nuestro, al ISP correspondiente.

 

Un saludo


Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es o en el formulario Némesys

También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Mensaje 20 de 22
14.498 Visitas
kar1968
Yo probé el VDSL

Gracias tomo nota desde que me llegue de nuevo haré lo que dices

 

Saludos cordiales

La paciencia es un arte y los clientes de esta empresa maestros de dicho arte.
Mensaje 21 de 22
14.474 Visitas
Dfcpunta
Yo probé el VDSL

No todas las cuentas de correo permiten ver el texto completo del mensaje, para solucionarlo hay que hacer lo siguiente

-Accede desde tu navegador a la pagina http://mail2web.com

-Accede a "advanced login"

-Pon tus datos y el nombre del servidor pop de tu cuenta de correo

-Accede al correo sospechoso

-accede a "view source" (Inglés) o "ver origen" (español)

-Copia el texto que tiene la fuente "courier new" ESTE TEXTO ESTA EN COURIER NEW

-despues dale a "New Message" (Ingles o a "nuevo mensaje" (Español)

-Pon el apartado To: el siguiente email: nemesys@telefonica.es y pon en el cuerpo del mensaje el texto en Courier new

-Pulsa "send" (Inglés) o "enviar" (Español) para enviar el mensaje.

(Esto funciona en todas las cuentas de correo, simplemente hay que saber cual es el servidor POP o IMAP correspondiente) Ej: el servidor POP de movistar es pop3.movistar.es

Ya no estoy en este foro, el dia 17 estare con otro nick, por favor no contactar con el usuario dfcpunta
Mensaje 22 de 22
14.444 Visitas
igrgavilan
Yo probé el VDSL

Hola,

 

Tenía la seria sospecha, pero desde ayer estoy completamente seguro: mi cuenta en 'Telefónica.Net' ha sido tomada por los 'spammers'. Supongo que algún tipo de virus o similar ha cogido la password y todas las direcciones de mi libreta de correos y se dedica a enviar spam en mi nombre.

 

Ayer lo confirmé porque ´recibí un correo 'spam' procedente ... de mi mismo.

 

Supongo que relacionado con esto, hace unos días fui a dejar comentario en un blog y no me dejó porque decía que mi dirección estaba identificada como una fuente de 'spam'.

 

La pregunta evidente es: ¿qué hago?

 

Sólo se me ocurren dos acciones pero no estoy seguro de que sean suficientemente efectivas:

 

(1) Pasar todo tipo de antivirus a mi PC (uso la versión gratuita de Avast)

(2) Cambiar la contraseña de mi cuenta desde un equipo fiable

 

¿Alguna otra sugerencia? Y, una vez que logre estar 'limpio' (por cierto, ¿cómo lo sabré?), ¿cómo podría desaparecer de esa lista de 'spammers' ?

 

Muchas gracias.

Etiquetas (2)
Mensaje 1 de 22
16.311 Visitas
Cristofer
Yo probé el VDSL

Buenas igrgavilan

 

Ejecuta en tu Windows (no puede ser otra cosa Emoticono feliz ) desde cmd el comando winver.

 

Mira qué versión es y qué Service Pack tienes.

 

Si es superior a XP SP2 ejecuta desde cmd este otro comando netstat -nb  30 >> conexiones.txt

 

Al cabo de 3 ó 4 minutos para el cmd "Ctrl-C" y mira en tu escritorio el archivo conexiones.txt

 

Pégalo en un post y te lo leo, a ver que veo.

 

Saludos.

Etiquetas (3)
Mensaje 2 de 22
16.285 Visitas
igrgavilan
Yo probé el VDSL

Muchas gracias Cristofer.

 

En efecto... es Windows. Seguiré tu sugerencia y acepto gustoso tu ayuda pero tengo un problema (si s que se le puede llamar así) y es que estoy de vacaciones y no tengo a mano el ordenador 'sospechoso'. hasta dentro de unos cuantos días no podré seguir tus indicaciones.

 

Cuando pueda, hago lo que me indicas y me pong0o en contacto contigo.

Mensaje 3 de 22
16.237 Visitas
Cristofer
Yo probé el VDSL

No le hagas un cmd a la arena de la playa que te quedas "marcao" para siempre en el Hotel, jejeje!!!!

Te anticipo que "carayo te he pediro" pues a veces me paso de esotérico jeje!!!!

 

netstat => esto es una herramienta accesible desde línea de comandos que sirve para listar nuestras conexiones, y dependiendo del atributo/s que le ponga luego, mostrará una u otra cosa.

 

¿Qué atributos te he pedido?

 

El n => Lista por numero de IP y no por nombre de los hosts

El b => Este necesita SP2 Windows XP, por eso te pedí lo del Winver, porque no dices que SSOO es. La b muestra el proceso que genera cada sesión. Estoy es muy importante.

 

Luego he puesto un tiempo de 10 segundos creo recordar que es para que repita el netstat cada 10 segundos

el >> es un redireccionador. La salida estándar es la pantalla, pero se pongo el >> y seguido un nombre, por ejemplo "resultado.txt" me lo guarda en archivo, y no sale en pantalla. La doble >> es porque con una sola > borraría todo la anterior cada 10 segundos y con el >> le digo que no borre y que escriba a continuación.

 

Otra posibilidad más bonita para el usuario de a pie es instalarse el tcpview del señor Rusinovich que ya es un programa comprado por Microsoft.

http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

Muy bueno, altamente recomendable.

Y con el resultado de la consola en txt o con el tcpview fíjate si en destino, despues de las ips qué puertos aparecen, si sale mucho x.x.x.x:25 (las x es cualquier IP) lo importante es el 25, fíjate en qué programa maldito te genera tanto saliente por el puerto 25 y lo demás es sencillo.

Disfruta del verano!!!!!!

 

 

 

Etiquetas (4)
Mensaje 4 de 22
16.207 Visitas
Saeba
Empleado

¡Hola igrgavilan!,

quisiera ayudarte en lo posible, a ver si lo consigo y vamos introduciendo algo de culturilla en seguridad, que es lo que realmente puede hacer que le mundo digital sea más seguro.

 

 lo primero es comentarte que quizás tus temores sean infundados, pues el hecho de recibir un correo desde tu misma cuenta no quiere decir que hayan conseguido comprometer tus credenciales. Falsifirmar el remitente es muy fácil, de forma que lo más probable es que hayan falsificado el remitente y para llamar tu atención (¡y vaya si lo han conseguido!) han puesto tu misma dirección.


En cualquier caso te propongo valores lo siguiente y en función de esto dictamines. Para robar tus credenciales básicamente existen tres posibilidades:

 

  1. Que consigan romper las credenciales en base a prueba y error (intentado autenticarse con tu cuenta) atacando directamente al servidor de correo. Si tu contraseña es robusta (¿entiendes lo de "robusta"?), es muy difícil que hayan tenido éxito.
  2. Que hayas caído en algún fraude tipo phishing en el que te hayan podido solicitar tus claves o credenciales suplantando la personalidad de los administradores de Telefonica Net. ¿Te ha ocurrido esto?. ¿Has respondido facilitando tus datos?.
  3. Que un troyano haya podido capturar tus credenciales al conectarte desde un equipo infectado. Ejecuta algunos de los test de antivirus online como http://www.pandasecurity.com/spain/homeusers/solutions/activescan/ y comprueba si estás infectado.

Si todas las respuestas son negativas, simplemente no te preocupes. Tus credenciales no han sido robadas.

 

En cualquier caso, cambiar las mismas y el procurar  elegir una contraseña robusta, es una medida que te evitará problemas.

 

Otra aclaración: ese blog que no te dejó comentar porque decía que tu dirección estaba identificada como fuente de spam no tiene nada que ver con el supuesto robo de credenciales Telefónica Net, pues date cuenta que cuando emites correo vía Telefónica Net no lo haces desde tu IP de casa, sino desde la IP de los servidores de Telefónica Net, que nada se parece. En realidad se refieren a la IP con la que estás navegando y conectando a ese foro, que es la IP que tiene asignada tu router ADSL. ¿Es IP fija o dinámica?, si fuera dinámica, podrías haber tenido mala suerte y haberte tocado la IP de algún usuario infectado que haya emitido recientemente spam. Las direcciones IP se actualizan más o menos cada 5 días. Aunque si apagas el router durante 5 minutos y lo vuelves a encender conseguirás una nueva IP.

 

De todas formas, me parece extraño que un blog no te deje publicar por emisión de spam. Quizás no sea spam clásico y estás infectado con alguna variedad de malware que es un spammer de foros web. Coméntame los resultados del antivirus, cambia tu IP, y consulta alguna lista negra con la nueva IP tras unas horas (mejor un día) a ver si has entrado.

Si tienes cierto conocimiento de informática, instalando un sniffer tipo WireShark podrías observar el tráfico saliente de tu equipo hacia puerto 25 de correo y comprobar si estás emitiendo spam. ¿Te atreves?.

 

Un saludo, ya me cuentas.

Mensaje 5 de 22
16.106 Visitas
raula_
Antiguo Moderador

 

 

A base de entrar a este foro a administrar al final voy a aprender a administrar y de seguridad, informática, tvip ....

 

jejejejejeje fripo Robot feliz

Mensaje 6 de 22
16.018 Visitas
igrgavilan
Yo probé el VDSL

Ante todo gracias por las sugerencias y ayudas y disculpas por hasta ahora no haber dado señales de vida.

 

Voy a ir probando y os voy contando.

Mensaje 7 de 22
15.960 Visitas
igrgavilan
Yo probé el VDSL

Antes de probar, te contesto algunas cosas, Saeba:

 

(bueno, lo primero gracias)

 

- Contraseña robusta: bueno... creo que regular. Las hay peores pero tambiñen es mejorable...

- Phishing: dudo mucho que sea por phising. Soy cuidadoso con eso...aunque nunca sabes cuando te 'la pueden colar'.

 

Las opciones que más posibles me parecen son las del troyano o la de que, realmente no hayan robado las credenciales y, simplemente, hayan falsificado el remitente.

 

Lo dicho voy probando cosas y os voy contando...

Mensaje 8 de 22
15.960 Visitas
igrgavilan
Yo probé el VDSL

Bueno, primeros datos.

 

- Tengo el SP3

- He ejecutado tanto el comando netstat como el programa TCPview y no observo el uso del puerto 25 Por cierto y para aprender algo mientras tanto... ¿para qué se utiliza ese puerto? ¿Por qué es sospechoso?

 

Cristofer, prefiero enviaerte directamente los resultados completos. Te he enviado un mensaje privado.

Mensaje 9 de 22
15.946 Visitas
igrgavilan
Yo probé el VDSL

En este momento estoy ejecutando activescan a ver qué pasa (con un 8% escaneado aún no ha visto nada 🙂 )

 

Cuando acabe (bueno, creo que ya será mañana) miraré con WireShark.

 

Mientras tanto, comentar que soy un 'bicho raro antediluviano' con IP fija. ¿Es eso mejor o peor de cara a la seguridad? ¿Algún consejo específico para ese caso?

Mensaje 10 de 22
15.936 Visitas
Paloma-Movistar
Experto en Ciberfraude

Hola igrgavilán,

 

Antes las operadoras asignaban IP's estáticas a cualquier tipo de clientes, pero éstas son limitadas a nivel mundial y la creciente demanda obligó a reservar las Ip's fijas sólo para clientes que así lo soliciten.

 

La seguridad depende de lo protegidos que tengas tu red y equipos, si están bien protegidos da igual que IP tengas. En caso de captura es más vulnerable una IP fija puesto que no va a cambiar en la siguiente conexión.

 

De todas formas vamos a abrir un hilo con alguna información sobre IP's

 

Un saludo

 

 


Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es o en el formulario Némesys

También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Mensaje 11 de 22
15.880 Visitas
igrgavilan
Yo probé el VDSL

Muchas gracoias por la información Paloma.

 

A ver si miro el hilo que comentas.

Mensaje 12 de 22
15.849 Visitas
igrgavilan
Yo probé el VDSL

Bueno, ya he pasado el ActviScan.

 

¿Resultado?

 

ActiveScan:

 

Bueno, a detectado 25 ficheros sospechosos o infectados. La mayoría son Cookies que, aunque en prinicpio eliminaría, no me dan sensación de peligrosas. Han aparecido tres ficheros que clasifica como 'Jokes' (no sé qué significa eso).

 

Y ha detectado 5 ficheros con dos tipos de troyanos: Spy.YK y CI.A

 

El problema es que ActiveScan (el de la web) hace la detección, pero no elimina. He pasado mi antivirus (Avast) en los directorios donde ActiveScan había detectado virus o ficheros sospechosos ¡¡¡ y no detecta ni uno de ellos !!!.

 

He borrado manualmente dos de los ficheros donde había troyanos porque sé que ficheros son, son ficheros de programa sencillos (sin instalación) y no me importa borrarlos. Pero los otros tres ficheros con troyanos ¿qué hago? A8parte de lo que seria el consejo de Panda que es comprarme su antivirus, claro)

 

WireShark:

Lo acabo de bajar e instalar. No sé si pasarlo hoy o irme a dormir y mirarlo mañana...

Mensaje 13 de 22
15.846 Visitas
Saeba
Empleado
Tranquilo. Todos tenemos algun fichero sospechoso. Sube los ficheros sospechosos a www.virustotal.com y obtengamos un diagnostico completo con muchos mas antivirus. Luego busca que hacen los troyanos en alguna descripcion tecnica que puedas encontrar en google. Y con esa informacion, ya sabras que hacer o tendras todo lo necesario para decidir. Saludos desde la playa!
Mensaje 14 de 22
15.759 Visitas
igrgavilan
Yo probé el VDSL

Gracias, Saeba.

 

Hago lo que me indicas y os cuento....

Mensaje 15 de 22
15.624 Visitas
mix
El WIFI me llevó al sofá
El WIFI me llevó al sofá

Lo de falsificar el remitente se puede hacer (no es complicado) , a mi me pasa lo mismo recibo correos de mi misma cuenta ofreciendome trabajo.

Y no es Windows porque uso Linux y el correo web de Movistar, osea que han conseguido tu direccion, muy facil si buscas empleo o te apuntas a ofertas de cursos etc y dejas tus datos en redes sociales (facebook, twitter, badoo etc).

A veces empresas sin escrupulos venden tus datos para hacer esto.

Mensaje 17 de 22
14.746 Visitas