Correos para “pescar” contraseñas en los buzones de la UO.

En los últimos días se han recibido en buzones de la UO correos para “pescar” contraseñas desde una supuesta cuenta en la Universidad of St. Gallen. Suiza. (HSG).

 

Por las características del mensaje esto es un típico caso de “pesca” que forma parte de los métodos de la ingeniería social.

Entre las direcciones que se muestran en el mensaje hay claros errores que muestran que con el correo se está tratando de localizar los buzones activos de forma que con una respuesta de estos se confirme su existencia para entonces comenzar a desarrollar la actividad que se prevé desarrollar  con el mismo, que puede tener muchas aristas que van desde un objetivo comercial hasta fines políticos, pasado por la estafa, la suplantación de identidad, etc.

Parta iniciar el análisis pártase de la cuenta maida.aljovic@student.unisg.ch y podemos preguntarnos porque un administrador de sistemas usaría una cuenta de estudiante, cuando las cuentas del personal de la Universidad tienen otras características, por ejemplo:

Dr. Arno Hold,  Dean External Relations,  arno.hold@unisg.ch

Rebecca Bilfinger, Programme Manager, cems@unisg.ch

 

Como se aprecia las direcciones del personal directivo o administrativo de la Universidad no tienen en el dominio  el término “student”.

La segunda cuestión: no es posible que la Oficina de Comunicación de la Universidad sea la que atienda un servicio que es netamente técnico y está en manos de la administración de la red de cualquier universidad.

Pueden estar pasando dos cosas, o es una cuenta que está siendo usada con un sniffer, o sea una conexión pinchada donde los mensajes se redireccionan a otro lugar y se filtran antes de enviarlos a la persona legítima o sencillamente es una cuenta fantasma que es obra de una hacker que está recopilando la información desde una dirección ficticia con una técnica de redireccionamiento.

Obsérvese ahora las características de las direcciones a las que se remite el mensaje, muchas son antiguas o presentan irregularidades y préstese atención a como en el cuerpo del mensaje se corrige el dominio con el “@uo.edu.cu”. Esta es una muestra más que nos pone en guardia contra estos mensajes.

rosa@rmrb.uo.edu.cu ,

robert@agr.uo.edu.cu ,

robert@csh.uo.edu.cu,

roberto@palma.sum.uo.edu.cu,

robertomg@cnt.uo.edu.cu,

 roca@ceefe.uo.edu.cu,

roca@fim.uo.edu.cu

riestra@dpscold.sc.bpa.cu,    riestra@fie.uo.edu.cu   (curioso dos direcciones en lugares diferentes) No está en el directorio de correos de la UO.

root@ictjam.u.o.edu.cu (error en la dirección de cuando existía un dominio ispjam)

rdiaz@ispjam.uo.edu.cu

"porfa…darias@uo.edu.cu"

riquenes@eco.uo.edu.cu

Incluso existen direcciones de personas que hace más de 10 años no trabajan en la Universidad.

Como se aprecia hay direcciones viejas o erróneas que hacen pensar en una captura, robo o venta de una base de datos de personas que se han registrado en un sitio, puede ser el sitio de la propia universidad de St Gallen y que personas mal intencionadas estén usando ahora para obtener algo.

Además otra muestra es que a todos los casos les llega este texto

El buzón está casi lleno y anticuado

1.93GB

 

2.01GB

 

Es muy raro que todos los supuestos buzones llenos y aticuados tengan el mismo espacio ocupado

De hecho este proceder que se toma del correo es clásico en la captura de direcciones verdaderas a través de la ingeniería social.

“Universidad de Oriente | UO del futuro, Cuba Publicar a todos los usuarios del e-mail ****@ uo.edu.cu . Navegar a través del mantenimiento del sitio web de Office Communications University, que es responsable de mantener nuestra base de datos y nuestro centro de correo electrónico. Esto es para desactivar las cuentas de correo electrónico inactivas / no utilizadas / inválidas, para dar cabida a más empleados y estudiantes.
Haga "Haga clic aquí" para activar y mantener.

NOTA: Para utilizar este servicio, primero debe activar su Universidad de Oriente | UO del futuro, Cuba Nombre de usuario (@ uo.edu.cu )”

Cuando usted hace clic en el enlace marcado en rojo está diciendo “si mi dirección es cierta”, la muestra es que en el sitio web de esa universidad no existe un vínculo a  la “Office Communications University”  (ver pág. www.unisg.ch). Como tampoco en la página existe un enlace visible a un webmail o sitio para el correo electrónico.

Como proceder en estos casos:

No responder nunca, porque dudo que estas personas tengan buzones de correo llenos o antiguos en esta Universidad, porque no se trata de un webmail internacional, sino de una red privada en la que se privilegian los servicios de los usuarios de la universidad y no de cualquier persona que llegue y quiera utilizar sus servicios de correo, etc.

De tomarse en consideración pensar que a nivel internacional con el fin de personalizar los servicios web se solicita un usuario y contraseña, para lo que generalmente se usa una dirección de correo para de esta forma logar un intercambio con el usuario potencial. Es así como se pudo obtener esta dirección.

Es por ello que hicimos la recomendación hace un tiempo para que las cuentas institucionales no se utilicen en la navegación o el envió de correos que no posean esa condición, ya que se genera el riesgo de que pueden ser capturadas y convertidas en blanco de ataques porque existen programas que son capaces de leer su PC y obtener la IP, el sistema operativo, el navegador y su versión y si encuentran una fisura de seguridad obtener información de la PC.

Con posterioridad comenzó a arribar este correo que tiene más o menos las mismas características:

De: "Webmaster" <reclutamiento@orf.com.co>
Para: reclutamiento@orf.com.co
Enviados: Martes, 7 de Marzo 2017 3:34:35
Asunto: Cuenta deshabilitada!

Estimado usuario de correo electrónico,

El uso de la cuenta de correo electrónico es superior a 10 MB, Haga clic aquí Para actualizar la cuenta de correo electrónico también,
actualizar la versión de Zimbra para evitar que su cuenta deshabilitada correo electrónico.
Si no actualiza su cuenta de correo electrónico, su cuenta de correo electrónico quedará inactiva.

Webmaster

Este es un correo clásico que entra para “PESCAR” contraseñas de manera fácil. Como medida estas direcciones son denegadas por directivas de seguridad desde los servidores de la Universidad. Es necesario recordar, una vez más,  que NUNCA se utiliza este proceder con los usuarios para actualizaciones de cuentas y que deben estar atentos a las direcciones del remitente de los mensajes, en este caso: reclutamiento@orf.com.co.

Es recomendable que se observe que el enlace Haga clic aquí envía a quienes los “pinchen” a  la dirección http://www.empastiskstrategi.se/wp-content/upgrade/zimbraupgradecl/ que como se aprecia no tiene nada que ver con la universidad.

El proceder a utilizar será siempre el que se utilizó cuando fue necesario hacer un cambio de contraseñas.

Acerca de Rubén Font Hernández

Especialista de Seguridad Informática
Esta entrada fue publicada en contraseñas, correo spam, informaciones, password, prevención, seguridad informática, suplantación de identidad. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>