Correo “phising”

Ahora que la situación está un tanto achuchada los “malos” continúan, e incluso aumentan su actividad, con lo que los riesgos para que nuestra economía empeore aumentan.
Un ejemplo es el incremento en el número de envío de correos “phising“: yo he recibido dos a lo largo de la semana pasada, y aproveché para darle un cursillo rápido a un amigo sobre lo que son y cómo detectarlos. Y dado que mostró un cierto interés, y un más cierto desconocimiento de cómo averiguarlo, me he decidido a hacer éste pequeño tutorial, asequible a todo el mundo. Espero.
Lo primero que hay que hacer es ser consciente de que NINGÚN banco ni caja de ahorros ni entidad alguna pide confirmaciones de claves de esta forma, por lo que de entrada hay que desconfiar de estos correos electrónicos: directamente, no “actualizamos las claves” ni aún cuando, como en éste, esté correctamente redactado.



Una vez aclarado esto, pasamos a guardar el correo electrónico en el escritorio, por la facilidad de acceso y posterior borrado, con el formato que sea (posiblemente con la extensión .eml: el de este tutorial es Clave de Operaciones.eml). Y cerramos nuestro programa de correo electrónico, que más vale prevenir…
Ahora volvemos nuestra vista a ese fichero malo, malo, que tenemos guardado en el escritorio, y lo abrimos con cualquier programa de edición de textos (para Windows, nos basta con el WordPad, mejor un NotePad++ por ejemplo; y para los usuarios de Linux, cualquier editor sirve ¿qué os voy a contar yo que no sepáis ya?). Obtenemos un “galimatías”, en el que:
-Desde “Return-Path: ” de la primera línea, hasta el “Envelope-To: USUARIO@CORREO.DOMINIO” se corresponde a toda la información de envío de un correo electrónico, en el que obviamente he cambiado la dirección real por la de USUARIO@CORREO.DOMINIO.
-Desde “” y hasta el final, es una página web en toda regla y con toda trampa.
Dejando de lado la parte del encabezado del mensaje de correo, que ya nos da pistas de que algo no esta del todo claro (Received-SPF: softfail (mxeu0: transitioning domain of bbva.net does not designate 70.155.199.202 as permitted sender) client-ip=70.155.199.202; envelope-from=oficina778734@bbva.net; helo=allimaccomputers.com;), nos vamos a la segunda parte, a la línea 164, más o menos, justo tras la parrafada de que “Con el fin de solucionar esta irregularidad…”, y vemos una entrada tal que así:
“https://bbva.es/formulario_validacion"
Esto no es más que código html, en que se escriben las páginas web, y os explico lo que dice y lo que hace:
- http://portaal.laanemaa.ee/.webps/: la dirección a la que se redirige el navegador cuando el usuario hace clic sobre el hipervínculo que aparece en la pantalla (que, obviamente, no se parece en nada al que debería ser el del banco en cuestión)
- https://bbva.es/formulario_validacion/ : la dirección a la que se supone iremos si hacemos clic sobre el texto.
¿Os dáis cuenta de que son diferentes la dirección a la que realmente vas de a la que supone que vas y que te dice el texto del enlace?
Pues así, con todo. Esta forma de “destripar” los entresijos del correo o de una página web la podéis aprovechar para comprobar tanto esos correos “raros” como páginas web con enlaces “sospechosamente interesantes”: como eres tú quien quiere ir a esas páginas, y así se lo “mandas” al navegador, estás facilitando el trabajo a los malos que ya no tienen que buscarte sino que les basta con esperar cómodamente sentados al otro lado de Internet…
Si alguien tiene especial interés en el correo electrónico completo lo podéis descargar en el enlace de más abajo; el otro lo envíe a la unidad de delitos informáticos de la Policía…
Un cordial saludo