Se esta distribuyendo en México un correo que dice provenir de una cuenta de Banamex, de hecho el correo dice provenir de: mailbanamex.com, sin embargo, si tenemos habilitados los encabezados avanzados en la cuenta de hotmail, o en nuestro Cliente de correo pedimos ver la codificación, podremos ver algo como lo siguiente:
------------------------------------------------------------------------
MIME-Version: 1.0
Received: from server1.wesped.com ([205.177.74.85]) by bay0-mc3-f8.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.1830); Sun, 9 Apr 2006 13:41:55 -0700
Received: from amas by server1.wesped.com with local (Exim 4.52)id 1FSgjK-0004gK-Blfor rotoledo@hotmail.com; Sun, 09 Apr 2006 22:41:54 +0200
Sender:
X-Message-Info: JGTYoYF78jHS3c53r1R0nHCJUD+XyNXiYqxd9V/wYF8=
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server1.wesped.com
X-AntiAbuse: Original Domain - hotmail.com
X-AntiAbuse: Originator/Caller UID/GID - [32029 32030] / [47 12]
X-AntiAbuse: Sender Address Domain - server1.wesped.com
X-Source:
X-Source-Args:
X-Source-Dir:
Return-Path: amas@server1.wesped.com
X-OriginalArrivalTime: 09 Apr 2006 20:41:55.0683
---------------------------------------------------------------------
Con lo que podremos observar claramente que el correo en realidad proviene de un dominio llamado, wesped.com, que solo es un servidor sin configurar, y podemos ver que el correo al que se envia respuesta es: amas@server1.wesped.com
Sin embargo el mail a todas vistas parece legitimo, pero, cuando damos clic a uno de los vinculos de Banca Net, en realidad nos lleva al siguiente sitio:
htp://www.banaimex.com
Observe cuidadosamente, el sitio tiene una letra "i" de mas, pero si usted accesa al sitio, lo que sucede es que lo lleva al lugar donde se logea para hacer operaciones de banca por Internet.
¿Que sucede?, al momento en el que usted entra en el sitio falso, y teclea su nombre de usuario y contraseña, esta es enviada por un formulario a una dirección de Internet, y su navegador lo vuelve a dejar en el sitio de Logeo de Banamex, pero esta vez en el sitio valido.
Tenga mucho cuidado, que estos mensajes y el sitio, a la fecha, siguen funcionando.
Si desea mas información escribame a: rtoledo@techlink.com.mx
------------------------------------------------------------------------
MIME-Version: 1.0
Received: from server1.wesped.com ([205.177.74.85]) by bay0-mc3-f8.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.1830); Sun, 9 Apr 2006 13:41:55 -0700
Received: from amas by server1.wesped.com with local (Exim 4.52)id 1FSgjK-0004gK-Blfor rotoledo@hotmail.com; Sun, 09 Apr 2006 22:41:54 +0200
Sender:
X-Message-Info: JGTYoYF78jHS3c53r1R0nHCJUD+XyNXiYqxd9V/wYF8=
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server1.wesped.com
X-AntiAbuse: Original Domain - hotmail.com
X-AntiAbuse: Originator/Caller UID/GID - [32029 32030] / [47 12]
X-AntiAbuse: Sender Address Domain - server1.wesped.com
X-Source:
X-Source-Args:
X-Source-Dir:
Return-Path: amas@server1.wesped.com
X-OriginalArrivalTime: 09 Apr 2006 20:41:55.0683
---------------------------------------------------------------------
Con lo que podremos observar claramente que el correo en realidad proviene de un dominio llamado, wesped.com, que solo es un servidor sin configurar, y podemos ver que el correo al que se envia respuesta es: amas@server1.wesped.com
Sin embargo el mail a todas vistas parece legitimo, pero, cuando damos clic a uno de los vinculos de Banca Net, en realidad nos lleva al siguiente sitio:
htp://www.banaimex.com
Observe cuidadosamente, el sitio tiene una letra "i" de mas, pero si usted accesa al sitio, lo que sucede es que lo lleva al lugar donde se logea para hacer operaciones de banca por Internet.
¿Que sucede?, al momento en el que usted entra en el sitio falso, y teclea su nombre de usuario y contraseña, esta es enviada por un formulario a una dirección de Internet, y su navegador lo vuelve a dejar en el sitio de Logeo de Banamex, pero esta vez en el sitio valido.
Tenga mucho cuidado, que estos mensajes y el sitio, a la fecha, siguen funcionando.
Si desea mas información escribame a: rtoledo@techlink.com.mx
2 comentarios:
mmmm a mi me llego recientemente un atake de Fishing, al parecer con un vinculo fraudulento de GUSANITO.COM, a mi me sale este "radiosex@server1.wesped.com" diciendo ke me llego una postal GUSANITO de otra persona ke en realidad era una identidad falsa
El pharming radica en mandar un archivo ejecutable (.exe) y la posible victima lo ejecuta y le modifica el archivo hosts (c:/windows/system32/drivers/etc/) e ingresa las modificaciones a las DNS ejemplo 200.200.200.200 banamex.com osea cuando ustedes entren a banamex.com entraran a las ip antes mencionada pero la barra de direcciones dira banamex.com aun que sea un sitio falso eso es en resumen el pharming el mandar ejecutables ocultos en mensajes como el de gusanito.com una postal que si la ven el archivo el nombre termina en .exe y es una aplicacion, tengan cuidado. Saludos
Publicar un comentario