Seamos nuestro propio CSI: analizando correos fraudulentos

   En esta entrada vamos a ir un poquito mas allá, quiero haceros llegar y concienciaros como siempre de una alerta real que existe en internet, pero además quiero intentar transmitiros la forma de poder detectar este tipo de “problemas” por vosotros mismos. Entramos en materia un poquito mas técnica, pero como siempre voy a intentar “traduciros” todo para que sea de la forma mas comprensible posible para todos, vamos a meternos un poquito en el papel de los CSI de internet, pero de forma sencilla. Que me perdonen los GRANDES (Ellos se reconoceran)

   Una amiga, María, me comenta que ha recibido un correo electrónico, un poco “extraño”, y que os cuento a continuación.

   La situación es la siguiente, María recibe un correo electrónico de una amiga, de las de toda la vida, pero que desde hace algún tiempo solo mantiene contacto por este medio y por Redes Sociales dado que cada una de ella se encuentra en un país distinto, María en España y su amiga en Costa Rica.

   Estos son los datos de este primer correo (omito los datos reales, ya sabéis temas de privacidad):

“Date: Mon, 25 Jun 2012 06:18:37 -0700

From: ########@yahoo.com

To: ######@hotmail.com

Hope you get this on time,sorry I didn’t inform you about my trip in Spain for a Program, I’m presently in Spain and am having some difficulties here because i misplaced my wallet on my way to the hotel where my money and other valuable things were kept. presently  i have limited access to internet,I will like you to assist me with a loan of  2,950 Euros  to sort-out my hotel bills and to get myself back home

i have spoken to the embassy here but they are not responding to the matter effectively,I will appreciate whatever you can afford to assist me with,I’ll Refund the money back to you as soon as i return,let me know if you can be of any help.I don’t have a phone where i can be reached

Please let me know immediately

Best Regards

#######

   Para los que entendéis perfectamente inglés, salvo por la preocupación de los problemas de la persona que os envía el correo, nada más, ¿verdad?, el correo viene a decir que esta persona se ha desplazado a España, y tras haber tenido problemas se encuentra sin medios económicos e incluso su Embajada, al no ser española, le da la espalda. Necesita la cantidad de 2950 € para saldar su deuda con el hotel y poder volver a su país.

   Estas dos personas SIEMPRE se comunican en castellano, eso hace dudar a María y asustada por la posible grave situación de emergencia de su amiga decide contestarla urgentemente para hacerle las preguntas lógicas, ¿eres tú?, ¿Estás en Madrid y tienes algún problema?.

            La contestación no tarda, nuevamente en pésimo inglés como veis a continuación:

“Date: Mon, 25 Jun 2012 14:04:30 -0700

From: ########@yahoo.com

Subject: Re: Eres tu? To: ######@hotmail.com

Thanks for your kindness and response towards my predicament,your mail brought me a huge relief,I have made inquiry on how you can transfer  the money  to me and I was told that Western Union Money Transfer is the easiest and fastest way to transfer money to Spain.here is my details below

Receiver’s: Names : ###### #### (nombre real de la amiga de María)

Receiver’s Address:  St Francisco Vitoria ###

 Zaragoza, 50008 

Spain

Once again ,i am very grateful for your concern,write me immediately, so i know when the money has been wired,kindly help me scan a copy of the receipt given to you or help me write out the necessary details on the receipt

Please I will be waiting to hear from you soon

Thanks
#########”

   Esta vez, la supuesta amiga de María le expresa lo aliviada que se siente al tener noticias de María y le dice que le envíe el dinero a través de Western Union a una dirección en Zaragoza, y siendo ella misma la única beneficiaria de la transferencia.

   Bien hasta aquí la historia contada por María, y es a partir de aquí donde empezamos a ver la verdadera “cara” de estos correos.

   A priori el texto en sí de los correos no nos dicen demasiado salvo que la persona que escribe lo hace de forma pésima en inglés, y que por lógica no es la amiga de María, puesto que siempre se comunican en castellano.

El correo de origen, el de la amiga de María, es el correo real de esta persona, con lo cual caben dos posibilidades:

  1. Hackeo de la cuenta de la amiga de María, y que alguien haya accedido a la cuenta para enviar este tipo de correos a personas que aparezcan en la propia agenda de contactos de la verdadera titular.
  2. Que el correo haya sido enviado utilizando un “servicio anonimizador” de correos, con lo cual en el “FROM” (CORREO ORIGEN) podemos poner lo que nos de la real gana, haciéndonos pasar por cualquier correo real.

   María confirma por otro medio, que no ha sido su amiga quien le ha remitido el correo, y que le han hackeado la cuenta de correo.

   Lo primero que tenemos que averiguar es desde donde le han enviado el correo a María, para verificar que efectivamente no ha sido su amiga quien lo remitió, y el texto escrito en el mail no nos lo va a decir, tenemos que “investigar en las tripas del correo”, cojamos nuestra lupa de investigadores y a la faena…

¿Cómo podemos saber desde donde nos llega un correo?

   Digamos que cuando nos envía un correo electrónico nosotros solo vemos lo que hay dentro del sobre, comparándolo con el ANTIGÜO correo postal, ¿lo recordáis?, ese que se escribía en un papelito, y luego se metía en un sobre donde se ponían los datos del destinatario, para que llegase la carta, pero también nuestros datos, los del remitente, por si la carta no encontraba su destinatario y nos la tenían que devolver.

   En este sobre se estampaban, además del sello de correos, matasellos de por donde pasaba nuestra carta desde el origen al destino.

   En internet las conexiones se identifican mediante las llamadas conexiones IP, que se asemejan a las direcciones postales con el nombre, número y ciudad donde residimos, o donde reside la persona a quien enviamos el correo. Estas IP,s nos las asigna cada proveedor de servicios de internet – ISP (la compañía que nos provee de internet), y son únicas a nuestra conexión, es decir, no pueden existir el mismo día y a la misma hora dos conexiones con la misma “dirección IP” .

   Los datos relativos a las IP,s de los usuarios de internet son datos de carácter personal,  y por lo tanto están sometidos a la normativa Europea y nacional de protección de datos,  protegidos por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal LOPD), con lo que no vamos a poder saber, salvo que tengamos un “amparo” legal (orden judicial) a quien pertenece una ip en concreto un día y una hora determinada, pero lo que si podemos saber es la geolocalización de la ip puesto que estas son asignadas por “tramos” a cada país, y dentro de cada país a su vez a cada proveedor de servicio, pudiendo incluso a geolocalizar la ciudad de la conexión, pero no al titular de la línea.

   Pues bien, sabiendo que en internet también existen las “direcciones postales” (IP,s) nos encontramos con la grata sorpresa de que en un correo electrónico también existe ese “sobre” que se utiliza en las cartas postales, lo que pasa es que nosotros no lo vemos normalmente, pero podemos configurar nuestro gestor de correo electrónico para verlo.

  El “sobre” de un correo electrónico se llama CABECERA TÉCNICA, y se puede ver si a nuestros gestor de correo le decimos que, dentro de los detalles de las propiedades del mismo, nos muestre los encabezados de internet de nuestros correos, o dicho de otra forma el origen de los correos que recibimos.

   Bueno, pues ya sabemos que tenemos opciones para a ver el origen de los correos que recibimos, y además que podemos traducir las direcciones de internet a localizaciones geográficas reales, así que volviendo al caso de María vamos a ver estos “detalles técnicos” de los correos en cuestión.

   Os pongo a continuación la cabecera técnica de uno de los correos que recibió María, he diferenciado sus partes en colores para traduciros y explicaros su significado (pulsar sobre ella para verla en una ventana aparte):

 

   ¿Ya la habéis leído entera?, cuantos símbolos, números y letras raros y sin sentido, ¿Parece “MATRIX” verdad?, no os preocupéis, vamos a traducirla.

   La última parte, en color ROJO, es lo que nosotros realmente leemos, pero además contiene algún que otro dato técnico o codificaicón.

    En color FUSIA tenemos la identificación del mensaje, un identificador que da el que provee de servicio de correo electrónico, en este caso Yahoo.com

   En color VERDE tenemos los pasos que ha ido dando el correo desde que salió del ordenador de la persona que lo envió hasta el ordenador de María. Marca los servidores por donde ha ido pasando.

   Dentro de este color verde tenemos unos apartados llamados RECEIVED (marcados en azul) que son las direcciones IP (recordar lo que hemos dicho de ellas, son las comparaciones a direcciones postales pero en internet). El primer received y el último (siempre empezando por abajo) apuntan al servidor del emisor y del destinatario del mensaje.

   Pues siguiendo esto que acabamos de decir, vemos que el primer RECEIVED que nos encontramos, leyendo desde abajo, es Received: from [41.139.115.252].

   O sea que desde la dirección IP 41.139.115.252 está enviando la amiga de María su correo electrónico.

   Tranquilos, ya hemos hecho lo más difícil, ahora solo nos queda saber a qué zona geográfica corresponde esa IP, y para ello vamos a utilizar algún servidor “WHOIS” que no es otra cosa que una base de datos pública en el que tienen almacenadas todas las ip,s , con lo cual nos van a decir tanto el país desde donde se envío el correo electrónico, como a que compañía proveedora de servicios pertenece la IP desde la que se envió, algunos incluso nos la van a geolocalizar, siendo fiable en cuanto al país pero no al 100% en la zona, porque marcan el servidor que provee servicios que puede estar en una ciudad distinta que desde donde realmente se envió el correo. Os pongo el ejemplo que nos ocupa.

   Si instroducimos la IP que hemos resuelto en la página http://www.adslayuda.com , para saber toda la información pública relativa a esa IP nos da el siguiente resultado:

   Bueno, pues ya terminamos nuestra “investigación”, vemos que la “amiga” de María le ha enviado el correo desde Nigería con una conexión a internet de la compañía MOBITEL NIGERIA LIMITED y desde una ciudad muy cerquita de la capita nigeriana Lagos.

   Algo raro, ¿verdad?, pues sí, efectivamente si pensabais que pudiera tratarse de algún tipo de estafa habéis acertado. Es una modalidad más de las llamadas estafas nigerianas que combinadas con técnicas “phishing” o de “ingeniería social” para el robo de contraseñas, y aprovechan los datos robados para contactar con los contactos de las primeras víctimas e incluirlos en el club de los estafados.

   Este tipo de estafa no es nueva, lleva funcionando más de cinco años, pero todavía hay “peces” que caen en las redes de estos cibercriminales. NO SE LO PONGAIS FACIL.

Recordar siempre que…

Nosotros mismos somos nuestra peor vulnerabilidad, pero también nuestra mejor protección y antivirus

Nos vemos en la red

 
email

21 pensamientos en “Seamos nuestro propio CSI: analizando correos fraudulentos

  1. Pingback: Seamos nuestro propio CSI: analizando correos fraudulentos

  2. Pingback: Internet is a series of blogs (CXL) | The Last Blog

  3. Pingback: Informática Forense y Seguridad « El TecnoBaúl de Kiquenet

  4. Thanks a lot for sharing this with all of us you really recognise what you’re talking about! Bookmarked. Kindly also talk over with my site =). We will have a link change agreement between us

  5. Received: by 10.49.105.35 with SMTP id gj3csp299685qeb;
    Tue, 25 Dec 2012 04:25:15 -0800 (PST)
    Return-Path:

    Received-SPF: pass (google.com: domain of ida@gmail.com designates 10.152.145.8 as permitted sender) client-ip=10.152.145.8

    Authentication-Results: mr.google.com; spf=pass (google.com: domain of ida@gmail.com designates 10.152.145.8 as permitted sender) smtp.mail=ida@gmail.com; dkim=pass header.i=@gmail.com

    Received: from mr.google.com ([10.152.145.8])
    by 10.152.145.8 with SMTP id sq8mr29066557lab.21.1356438315494 (num_hops = 1);
    Tue, 25 Dec 2012 04:25:15 -0800 (PST)

    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
    d=gmail.com; s=20120113;
    h=mime-version:date:message-id:subject:from:to:content-type;
    bh=j2WjY+EpA3bc038ZnVwJOiuKpKN4AIt9Jm3l4sYzP4k=;

    b=Hu8Jlrh/Uxjof4K3O9jEDXVatWDp41MAb+FMlaCtWANJLtDdHDq+TU1HWLCI2/4HEh
    XCnr+O553NWLHC7vzVIOvYRETwWtV/XpAnL0eBgb1Ffw0yMFafTFoulCTdAdn/w4DK6z
    8HdcuiOdzaKuyfzyfvNSGEMBMFuDz8qaWXKoFAtr8/DEj69ENf8MBiCfQNd69oipmEtp

    CYG1ft3mKYCod9fut7fNqssL569VH55mD+1cnz1z6VrDn+Y23V9ALfkwrtuYzyouRblz
    62F/YDBNRUIkWTDcyu9voOMSKFpenJI0F4zU4yrmdh0e15mwRcfp2t9qbv53EHI5FOpc
    YvuA==
    MIME-Version: 1.0
    Received: by 10.152.145.8 with SMTP id sq8mr22494724lab.21.1356437945763; Tue,

    25 Dec 2012 04:19:05 -0800 (PST)
    Received: by 10.114.64.74 with HTTP; Tue, 25 Dec 2012 04:19:05 -0800 (PST)
    Date: Tue, 25 Dec 2012 12:19:05 +0000
    Message-ID:

    Subject:
    From: Ida
    To: adamjwsmith@mac.com
    Content-Type: text/plain; charset=ISO-8859-1

    Muy buena info . como siempre Angel.

    teniendo en cuenta lo que mejoran las malas artes. en ocasiones con la informacion de la cabecera del mail no obtenemos ninguna ip publica.

    el supuesto atacante previamente compromete una cuenta de uno de nuestros contactos pertenecientes al mismo dominio que nuestra cuenta , en este caso particular que expondre ,gmail.

    una vez que ha realizado el acceso a dicha cuenta ejemplo ctacomprometida@gmail y desde ella ,”via web” ,

    en este caso particular una webapp de acceso a gmail o

    gmail mismo ,via webmail.

    envia a todos los contactos, el mail con el link al dominio que contiene el server que contiene la pagina que aloja el codigo malicioso o malware.

    hasta aqui las acciones del criminal , yo lo llamaria de otra manera que empieza por h y luego por p , pero en fin … ciberdelincuente , llamemosle asi ..

    que pdemos hacer nosotros ? . rastrear la ip , no nos lleva ,mas que a google

    aqui os dejo el ejemplo

    Received: by 10.49.105.35 with SMTP id gj3csp299685qeb;
    Tue, 25 Dec 2012 04:25:15 -0800 (PST)
    Return-Path:
    Received-SPF: pass (google.com: domain of ida@gmail.com designates 10.152.145.8 as permitted sender) client-ip=10.152.145.8
    Authentication-Results: mr.google.com; spf=pass (google.com: domain of ida@gmail.com designates 10.152.145.8 as permitted sender) smtp.mail=ida@gmail.com; dkim=pass header.i=@gmail.com
    Received: from mr.google.com ([10.152.145.8])
    by 10.152.145.8 with SMTP id sq8m6557lab.21.1356438315494 (num_hops = 1);
    Tue, 25 Dec 2012 04:25:15 -0800 (PST)
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
    d=gmail.com; s=20120113;
    h=mime-version:date:message-id:subject:from:to:content-type;
    bh=j2WjY038ZnVwJOiuKpKN4AIt9J4k=;
    b=Hu8JlEDXVatWDp41MAb+FMladHDq+TU4HEh Xr+O553NWLHC7vzVI/XpAnL0eBgb1Ffw0yMFafTFoulCTdAdn/w4DK6z
    8HdcyfzyfvDz8qaWXKoFAtr88MBiCfQNd69oipmEtp
    Ct3mKYCod9fut7fNqssL56H55mD+1cnz1z6VrDnV9ALfkwrtuYzyouRblz
    6/YDBNIkWTyu9voOMSKFpenJ4zU4yrmdh0e15fp2t9qbv53EHI5FOpc
    YvuA==
    MIME-Version: 1.0
    Received: by 10.152.145.8 with SMTP id sq22494724lab.21.137945763; Tue,
    25 Dec 2012 04:19:05 -0800 (PST)
    Received: by 10.114.64.74 with HTTP; Tue, 25 Dec 2012 04:19:05 -0800 (PST)
    Date: Tue, 25 Dec 2012 12:19:05 +0000
    Message-ID:
    Subject:
    From: Ida
    To: adamjwsmith@mac.com
    Content-Type: text/plain; charset=ISO-8859-1

    Como vemos . todo son ips privadas , de servers del propio gmail , según yo interpreto , corrigeme si me precipito en algo . ya que me ha tocado de cerca este caso y , la furia no es buen acompañante en un analisis de nada. Es dedir el mensaje no sale del dominio gmail para nada .

    lo primero es indicar a google que alguien esta suplantando la identidad de una persona que te ha enviado a tu cuenta de google tambien ,un virus ,digamos…

    aduciendo que esa persona ,contacto tuyo , es imposible que te haya enviado eso de modo consciente. Todo esto es posible si tu cuenta y la del origen son de gmail , sino ,dudo como seria entre varios dominios _ mas complejo , es seguro ,que sería.

    es un comienzo ya que google si permite denunciar suplantacin de identidad y google entonces , en este caso con celeridad t,omo sus medidas.

    ante el desconocimiento de si la persona desde cuya cuenta de gmail se envio el mensaje es la que realmente controla su propia cuenta , por desgracia no podemos de momento confiar en ella, decidi esperar a ver.

    En unas horas .

    google contacto con esa persona , realmente no se si por mi denuncia previa , que expuse en el punto anterior o por quejas de mas contactos , el caso es que
    google le envio un mail indicandole una ip publica . origen via web del acceso a gmail y envio del malware.

    esa ip , logicamente es enviada a el propietario de la cuenta cmprometida , nadie mas.

    ni yo , que denuncie , ni segun yo pienso , a nadie mas .

    Como usuarios de gmail disponemos de la opcion de rastrear, por asi decirlo nuestros logins , y asi saber , por seguridad desde donde fueron realizados todos los accesos a nuestra cuenta “logins”. me imagino que esta info y otra mas, es la que condujo a esa ip .

    con esta ip ya seguiriamos el caso de igual modo que lo planteado en este post por Angel.

    salud2

  6. Muy buena información. Hace unos años atrás me llegó el caso de una “pobre mujer” (foto incluida) paciente de cáncer, pero lo que me llamó la atención fue que después recibí un correo similar de una “pobre niña” que sufría del mismo mal, y la tercera vez, fue de una millonaria herencia prodducida por un grave accicente de aviación en SubAfrica, cerca de ciudad de Durban. Sospechando que era otro intento de estafa, le remití el correo a un familiar que tengo allá, y me contestó que nunca había ocurrido tal accidente.
    Sin embargo, en el último mes “he sido favorecido por todos los dioses del Olimpo” y es así que me han llegado correros de la ONU, el FBI, varias Loterias, una viuda de un señor que trabajaba en Oil, etc. etc.

  7. Continuación: Como tal “racha de fortuna” me resulta muy rara, aproveché un rato de tiempo libre para investigar en Internet sobre ello y encontré esta Blog que es muy bueno.
    Buscando la procedencia de tales correos, llegué a confirmar que son mafias que emiten sus correos de distintos lugares, y cuando uno rechaza sus ofrecimientos, otros estafadores seguiran insitiendo.
    Como siempre les contestaba que de las herencias o premios “sacaran ellos los gastos y me remitieran el resto”, dejaban de molestar un tiempo, pero ahora dicen que como la cantidad está “a mi nombre”, ellos no pueden sacar sus honorarios e impuestos y que se se los envíe por Wester Union.
    (siguiéndoles el juego), les pido tos sus datos, incluída una fotografía, y les digo que son para remitirlos al Interpol de mi país, que revisa todas las transacciones de acuerdo a nuestras leyes. Parece que eso no les ha gustado, y por el momento no he recibido otros avisos de Premios.

  8. Hola, antiguamente si se podía ver la ip del origen entiendo que al cambiar la ley en Europa ya no se nos muestre ? Corregirme si me equivoco.
    Una solución podría ser utilizar otro servicio de correo ? Para que nos muestre la ip origen o me estoy equivocando ?
    Gracias 😉

  9. Mucho cuidado con la pagina “flirchi” para buscar amistades y parejas ahí hay varias personas intentando estafar la mayoría son específicamente de africa.

  10. Tengo un móvil en venta en Internet y ayer recibí un mensaje es whatshap de una señora que lo quería para su hijo que vivía en Suecia. Me pidió datos bancarios y mi correo electrónico. Está mañana he recibido otro whatshap enviándome una dirección de Nigeria para que envié el móvil allí ya que dice que su hijo por trabajo se ha tenido que ir a ese país y a ella no se lo había dicho. He recibido un correo electrónico de una especie de banco diciéndome que cuando envié el móvil a esa dirección postal me harán el ingreso del coste. Yo le contesté por whatshap le dije que primero el ingreso y entonces enviaré el móvil. Hace un momento he vuelto a recibir otro correo de este empresa en nombre de esta señora que si en 24 horas no envío el móvil, tomarán trámites legales ante la policía. Todo muy raro y me suena a estafa. No se que hacer. Alguien me puede ayudar. Gracias

    • Lorenzo, no me cabe la menor duda que es una estafa, un intento de SCAM o estafa nigeriana, no le des continuidad.
      Bloquea y punto

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *