Campaña navideña de robo de contraseñas

En estos días tan señalados, y como viene siendo habitual, proliferan las campañas realizadas a través de correo electrónico, con temática navideña, con la intención de vender Viagra, distribuir malware o intentar robar contraseñas de correo. Estos días he recibido varios correos de mis contactos para que visitara una postal navideña de un usuario anónimo, en nombre de Correos.

Está claro que no tiene buena pinta, y si seguimos el enlace nos encontramos con una pantalla de login, donde debemos meter nuestra contraseña de correo para, supuestamente, ver nuestra postal. Este login aparece en primer plano, mientras que de fondo se carga la página legítima de Correos para parecer más real y verídico.

Nuestra cuenta de correo se pasa como parámetro al pulsar el enlace y está codificada en Base64:

Lo curioso es que el servidor lleva un registro de las cuentas válidas y no muestra el login siempre, sino que debe ser una cuenta a la que se haya enviado anteriormente el correo. En caso contrario muestra un error:

El objetivo de esta campaña parece claro, y no es otro que el robo de contraseñas de correo electrónico. Se trata de una cadena, en la que cuando suministras una contraseña correcta de correo, se registra y se buscan los contactos de esa cuenta para enviarles a su vez el mismo correo. La finalidad de esta recolección puede ir desde la venta de esta información en el mercado underground al uso de las cuentas para el envío de SPAM u otras campañas similares, por lo que se recomienda el cambio de la contraseña si se ha llegado a introducir en esta página fraudulenta.

También es destacable la firma y el contenido del correo. Se firma en nombre de una persona que realmente existe y está relacionada con el mundo del Marketing, como indica la firma del correo fraudulento. Si echamos un vistazo a la página web de la empresa para la que trabaja, vemos que se pueden enviar regalos navideños, y si nos fijamos en su texto promocional, éste coincide exactamente con el texto que se incluye en el correo electrónico. Por lo menos parece que los delincuentes se han molestado en usar identidades y textos reales para realizar esta campaña, dotándola de mayor realismo de cara a obtener el mayor número de contraseñas posibles.

El dominio se creó el 12 de diciembre (hace 15 días) y la IP a la que resuelve pertenece a un bloque de direcciones localizadas en China.

Como ya he comentado, es necesario que en estas fechas se esté más atento si cabe a este tipo de correos, evitando cualquier tipo de interacción con los servidores maliciosos. ¡Felices fiestas a todos! pero sin olvidarse de la seguridad... ;)

 

Nota: Publicado originalmente en el blog de S21sec