Seamos nuestro propio CSI: analizando correos fraudulentos

   En esta entrada vamos a ir un poquito mas allá, quiero haceros llegar y concienciaros como siempre de una alerta real que existe en internet, pero además quiero intentar transmitiros la forma de poder detectar este tipo de “problemas” por vosotros mismos. Entramos en materia un poquito mas técnica, pero como siempre voy a intentar “traduciros” todo para que sea de la forma mas comprensible posible para todos, vamos a meternos un poquito en el papel de los CSI de internet, pero de forma sencilla. Que me perdonen los GRANDES (Ellos se reconoceran)

   Una amiga, María, me comenta que ha recibido un correo electrónico, un poco “extraño”, y que os cuento a continuación.

   La situación es la siguiente, María recibe un correo electrónico de una amiga, de las de toda la vida, pero que desde hace algún tiempo solo mantiene contacto por este medio y por Redes Sociales dado que cada una de ella se encuentra en un país distinto, María en España y su amiga en Costa Rica.

   Estos son los datos de este primer correo (omito los datos reales, ya sabéis temas de privacidad):

“Date: Mon, 25 Jun 2012 06:18:37 -0700

From: ########@yahoo.com

To: ######@hotmail.com

Hope you get this on time,sorry I didn’t inform you about my trip in Spain for a Program, I’m presently in Spain and am having some difficulties here because i misplaced my wallet on my way to the hotel where my money and other valuable things were kept. presently  i have limited access to internet,I will like you to assist me with a loan of  2,950 Euros  to sort-out my hotel bills and to get myself back home

i have spoken to the embassy here but they are not responding to the matter effectively,I will appreciate whatever you can afford to assist me with,I’ll Refund the money back to you as soon as i return,let me know if you can be of any help.I don’t have a phone where i can be reached

Please let me know immediately

Best Regards

#######

   Para los que entendéis perfectamente inglés, salvo por la preocupación de los problemas de la persona que os envía el correo, nada más, ¿verdad?, el correo viene a decir que esta persona se ha desplazado a España, y tras haber tenido problemas se encuentra sin medios económicos e incluso su Embajada, al no ser española, le da la espalda. Necesita la cantidad de 2950 € para saldar su deuda con el hotel y poder volver a su país.

   Estas dos personas SIEMPRE se comunican en castellano, eso hace dudar a María y asustada por la posible grave situación de emergencia de su amiga decide contestarla urgentemente para hacerle las preguntas lógicas, ¿eres tú?, ¿Estás en Madrid y tienes algún problema?.

            La contestación no tarda, nuevamente en pésimo inglés como veis a continuación:

“Date: Mon, 25 Jun 2012 14:04:30 -0700

From: ########@yahoo.com

Subject: Re: Eres tu? To: ######@hotmail.com

Thanks for your kindness and response towards my predicament,your mail brought me a huge relief,I have made inquiry on how you can transfer  the money  to me and I was told that Western Union Money Transfer is the easiest and fastest way to transfer money to Spain.here is my details below

Receiver’s: Names : ###### #### (nombre real de la amiga de María)

Receiver’s Address:  St Francisco Vitoria ###

 Zaragoza, 50008 

Spain

Once again ,i am very grateful for your concern,write me immediately, so i know when the money has been wired,kindly help me scan a copy of the receipt given to you or help me write out the necessary details on the receipt

Please I will be waiting to hear from you soon

Thanks
#########”

   Esta vez, la supuesta amiga de María le expresa lo aliviada que se siente al tener noticias de María y le dice que le envíe el dinero a través de Western Union a una dirección en Zaragoza, y siendo ella misma la única beneficiaria de la transferencia.

   Bien hasta aquí la historia contada por María, y es a partir de aquí donde empezamos a ver la verdadera “cara” de estos correos.

   A priori el texto en sí de los correos no nos dicen demasiado salvo que la persona que escribe lo hace de forma pésima en inglés, y que por lógica no es la amiga de María, puesto que siempre se comunican en castellano.

El correo de origen, el de la amiga de María, es el correo real de esta persona, con lo cual caben dos posibilidades:

  1. Hackeo de la cuenta de la amiga de María, y que alguien haya accedido a la cuenta para enviar este tipo de correos a personas que aparezcan en la propia agenda de contactos de la verdadera titular.
  2. Que el correo haya sido enviado utilizando un “servicio anonimizador” de correos, con lo cual en el “FROM” (CORREO ORIGEN) podemos poner lo que nos de la real gana, haciéndonos pasar por cualquier correo real.

   María confirma por otro medio, que no ha sido su amiga quien le ha remitido el correo, y que le han hackeado la cuenta de correo.

   Lo primero que tenemos que averiguar es desde donde le han enviado el correo a María, para verificar que efectivamente no ha sido su amiga quien lo remitió, y el texto escrito en el mail no nos lo va a decir, tenemos que “investigar en las tripas del correo”, cojamos nuestra lupa de investigadores y a la faena…

¿Cómo podemos saber desde donde nos llega un correo?

   Digamos que cuando nos envía un correo electrónico nosotros solo vemos lo que hay dentro del sobre, comparándolo con el ANTIGÜO correo postal, ¿lo recordáis?, ese que se escribía en un papelito, y luego se metía en un sobre donde se ponían los datos del destinatario, para que llegase la carta, pero también nuestros datos, los del remitente, por si la carta no encontraba su destinatario y nos la tenían que devolver.

   En este sobre se estampaban, además del sello de correos, matasellos de por donde pasaba nuestra carta desde el origen al destino.

   En internet las conexiones se identifican mediante las llamadas conexiones IP, que se asemejan a las direcciones postales con el nombre, número y ciudad donde residimos, o donde reside la persona a quien enviamos el correo. Estas IP,s nos las asigna cada proveedor de servicios de internet – ISP (la compañía que nos provee de internet), y son únicas a nuestra conexión, es decir, no pueden existir el mismo día y a la misma hora dos conexiones con la misma “dirección IP” .

   Los datos relativos a las IP,s de los usuarios de internet son datos de carácter personal,  y por lo tanto están sometidos a la normativa Europea y nacional de protección de datos,  protegidos por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal LOPD), con lo que no vamos a poder saber, salvo que tengamos un “amparo” legal (orden judicial) a quien pertenece una ip en concreto un día y una hora determinada, pero lo que si podemos saber es la geolocalización de la ip puesto que estas son asignadas por “tramos” a cada país, y dentro de cada país a su vez a cada proveedor de servicio, pudiendo incluso a geolocalizar la ciudad de la conexión, pero no al titular de la línea.

   Pues bien, sabiendo que en internet también existen las “direcciones postales” (IP,s) nos encontramos con la grata sorpresa de que en un correo electrónico también existe ese “sobre” que se utiliza en las cartas postales, lo que pasa es que nosotros no lo vemos normalmente, pero podemos configurar nuestro gestor de correo electrónico para verlo.

  El “sobre” de un correo electrónico se llama CABECERA TÉCNICA, y se puede ver si a nuestros gestor de correo le decimos que, dentro de los detalles de las propiedades del mismo, nos muestre los encabezados de internet de nuestros correos, o dicho de otra forma el origen de los correos que recibimos.

   Bueno, pues ya sabemos que tenemos opciones para a ver el origen de los correos que recibimos, y además que podemos traducir las direcciones de internet a localizaciones geográficas reales, así que volviendo al caso de María vamos a ver estos “detalles técnicos” de los correos en cuestión.

   Os pongo a continuación la cabecera técnica de uno de los correos que recibió María, he diferenciado sus partes en colores para traduciros y explicaros su significado (pulsar sobre ella para verla en una ventana aparte):

 

   ¿Ya la habéis leído entera?, cuantos símbolos, números y letras raros y sin sentido, ¿Parece “MATRIX” verdad?, no os preocupéis, vamos a traducirla.

   La última parte, en color ROJO, es lo que nosotros realmente leemos, pero además contiene algún que otro dato técnico o codificaicón.

    En color FUSIA tenemos la identificación del mensaje, un identificador que da el que provee de servicio de correo electrónico, en este caso Yahoo.com

   En color VERDE tenemos los pasos que ha ido dando el correo desde que salió del ordenador de la persona que lo envió hasta el ordenador de María. Marca los servidores por donde ha ido pasando.

   Dentro de este color verde tenemos unos apartados llamados RECEIVED (marcados en azul) que son las direcciones IP (recordar lo que hemos dicho de ellas, son las comparaciones a direcciones postales pero en internet). El primer received y el último (siempre empezando por abajo) apuntan al servidor del emisor y del destinatario del mensaje.

   Pues siguiendo esto que acabamos de decir, vemos que el primer RECEIVED que nos encontramos, leyendo desde abajo, es Received: from [41.139.115.252].

   O sea que desde la dirección IP 41.139.115.252 está enviando la amiga de María su correo electrónico.

   Tranquilos, ya hemos hecho lo más difícil, ahora solo nos queda saber a qué zona geográfica corresponde esa IP, y para ello vamos a utilizar algún servidor “WHOIS” que no es otra cosa que una base de datos pública en el que tienen almacenadas todas las ip,s , con lo cual nos van a decir tanto el país desde donde se envío el correo electrónico, como a que compañía proveedora de servicios pertenece la IP desde la que se envió, algunos incluso nos la van a geolocalizar, siendo fiable en cuanto al país pero no al 100% en la zona, porque marcan el servidor que provee servicios que puede estar en una ciudad distinta que desde donde realmente se envió el correo. Os pongo el ejemplo que nos ocupa.

   Si instroducimos la IP que hemos resuelto en la página http://www.adslayuda.com , para saber toda la información pública relativa a esa IP nos da el siguiente resultado:

   Bueno, pues ya terminamos nuestra “investigación”, vemos que la “amiga” de María le ha enviado el correo desde Nigería con una conexión a internet de la compañía MOBITEL NIGERIA LIMITED y desde una ciudad muy cerquita de la capita nigeriana Lagos.

   Algo raro, ¿verdad?, pues sí, efectivamente si pensabais que pudiera tratarse de algún tipo de estafa habéis acertado. Es una modalidad más de las llamadas estafas nigerianas que combinadas con técnicas “phishing” o de “ingeniería social” para el robo de contraseñas, y aprovechan los datos robados para contactar con los contactos de las primeras víctimas e incluirlos en el club de los estafados.

   Este tipo de estafa no es nueva, lleva funcionando más de cinco años, pero todavía hay “peces” que caen en las redes de estos cibercriminales. NO SE LO PONGAIS FACIL.

Recordar siempre que…

Nosotros mismos somos nuestra peor vulnerabilidad, pero también nuestra mejor protección y antivirus

Nos vemos en la red