Y cómo el aguardiente nos cura del coronavirus

Y cómo el aguardiente nos cura del coronavirus Un saludo y bueno, mucha calma con el título, ¡ [ ... ]

Cobros jurídicos, embargos y más afugias adjuntas en los correos

Cobros jurídicos, embargos y más afugias adjuntas en los correos Un saludo. Nuevamente tenemo [ ... ]

Que el 2020 sea un año para andar seguros en la red

Que el 2020 sea un año para andar seguros en la red Comparto con ustedes el lanzamiento de mi  [ ... ]

Cultura de la Seguridad Digital para este 2019

Cultura de la Seguridad Digital para este 2019 Un saludo a todos mis seguidores y grandes bendi [ ... ]

Momo, Ayuwoki y otras criaturas indefensas

Momo, Ayuwoki y otras criaturas indefensas Entiendo que con el título de este post estaran pensa [ ... ]

Lanzamiento del Libro

  Libro "CiberPadres 2.0 - Seguridad en la red para la familia" Con gran emoción c [ ... ]

¡Me hackearon el WhatsApp!

¡Me hackearon el WhatsApp! Hace algunos meses – ok, ok, un par de años – redacté un post [ ... ]

Más artículos de interés

Cobros jurídicos, embargos y más afugias adjuntas en los correos


afugias2

Un saludo. Nuevamente tenemos el caso de correos fraudulentos - en este caso de la DIAN - pero que sirve para ilustrar el panorama general de este tipo de mensajes y que básicamente lo que buscan es intimidar al receptor para que ejecute una acción, así de simple. No es para dar una información importante, no lo crean, lo único que se busca es que el usuario de clic ya sea en:

1 – Un archivo adjunto que puede contener algún tipo de malware (virus, capturador de teclado o keylogger, troyanos bancarios, todo esto junto, etc.)
2 – Un enlace a una página que puede descargar un archivo malicioso al equipo (malware), pedir información sensible, instalar plugins en los navegadores, entre otros.

Simplemente vuelvo y lo digo: No descargar archivos adjuntos ni dar clic en links, por más que el mensaje asuste, como vamos a ver. Pero si es de los que piensa “ y que tal que sea cierto…” (ya perdió el año porque a esta “vulnerabilidad humana” se apela mucho en la teoría de la ingeniería social o arte del engaño) pues controle en primer lugar sus nervios y angustias y llame a alguno de los teléfonos institucionales publicados en los portales (obvio no en los teléfonos que a veces se dan en el propio correo) Ok, ok, se que puede durar una eternidad bienaventurada tratando de que le contesten y más en algunas instituciones del estado (no en este país…en otros) pero es lo que hay que hacer porque los ciberdelincuentes apelan a esto, al afán, al querer respuesta inmediata. Si es verdad que debe plata pues ya esperaron lo más, ahora que esperen lo menos. Todo con calma y por el camino correcto, que a veces no es el fácil (Algo de filosofía existencial para su ayuda)

Y bueno, veamos rápidamente como es que vienen armados estos mensajes (no solo de la DIAN, de cualquier entidad o institución que quieran “preocuparlo” por algo) para que los conozca y así se convenza cada día más y más de lo falsos que son.

Este es el correo

correo

Lo primero que este tipo de mensajes tienen en común es el ASUNTO del correo:
- Ultimo aviso
- Cobro jurídico
- Embargo inminente
- Se lo llevó el chamuco … bueno esto no…(después hablaremos de correos del fin del mundo)
- O en este caso “procederemos con una orden de embargo…” 

 img1

Si, esto asusta, intimida. En una mañana calurosa, alegre, con tinto en mano y recibir un mensaje con este asunto pues en verdad nos preocupa y nos pone alerta, muchas veces logrando el cibercriminal que desde ya que empiece a responder nuestro modo “heurístico”, de respuesta rápida, algo que todos los seres humanos tenemos – después escribiré sobre este apasionante tema.

Y pues seguimos con la tortura. Al abrir el mensaje (no, no se va a meter ningún virus con solo abrir el correo, eso era otras épocas) obviamente comenzamos su lectura y vemos toda una dedicatoria a nuestra irresponsabilidad financiera (en otro tipo de correos hasta nos calman después de esto ofreciéndonos soluciones celestiales – No en este caso de la DIAN en el que nos dan palo a diestra y siniestra). De cualquier modo nos obligan a dar clic en adjuntos o en un link o vínculo.

super

Bueno, ya lo leímos, nos estresamos y vamos a darle clic al adjunto. ¡NOOO…NOOO! Es momento de recordar este artículo, mis palabras y frenar nuestro impulso natural. A ver, tranquilicémonos y echémosle una revisada al mensaje. Qué encontramos:

 

1 – Dirección de donde viene el correo

img2

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Los correos del gobierno son del tipo @xxxxx.gov.co por tanto en este caso no es oficial. Cuando llegue un correo de otra entidad, oficial o privada, verifiquen buscando en Google la página oficial y miren como termina su dirección, esto ayuda un poco, digo un poco porque tampoco es que no se pueda suplantar una cuenta oficial, pero ese será otro caso de estudio. En este correo en particular es fácilmente descartable desde el inicio.

¿Seguimos angustiados? Bueno, entonces veamos más.


2 – Cuerpo del mensaje

Aunque han mejorado en ortografía y gramática se les siguen pasando cosas que no deberían ser (A ver, nada de somos humanos y cometemos errores….)

img3


En el mensaje vemos por ejemplo “Para lo dé su conocimiento” … es incorrecta la expresión, ni siquiera es demasiado formal, ni shakesperiana ni nada. “Para su conocimiento” es lo correcto. Por aquí ya nuevamente descartada su veracidad.

Menciona artículos de la ley ¿cual ley? Por ningún lado la referencia.

Uno que otro error sutil gramatical.

Y en la mayoría de textos de este tipo de mensajes aparece al final una “clave de acceso” como para que digamos “¡Ay, muchas gracias por pensar en nuestra seguridad!” Empezando porque al final para nada nos pidió la clave.

Y al final propaganda, publicidad y a todo lo que se pueda apelar para dar autenticidad al mensaje.
El emprendimiento es de todos” jajaja... sin palabras

Podemos notar que en este mensaje en particular agregan en la publicidad las direcciones verdaderas de la Dian: “dian.gov.co”, no se si es por confundir, o si se les pasó porque se puede contrastar la dirección de arriba – de donde viene el correo – con estas oficiales y nos daremos cuenta que no son para nada dominios iguales (todo lo que esta después del @).

Nota: en algunos correos en el cuerpo del mensaje aparece un link para acceder a revisar la deuda, el problema, el asunto, etc. NO INGRESAR

En fin, en este punto espero ya sepan que es falso y calmen su ansiedad e hipertensión, porque de no ser así van a terminar dando clic en los archivos de abajo.

3 – Adjuntos

img4

Aca es donde radica el peligro y es que en esta parte puede variar mucho. En este caso en particular son dos archivos

img5

Nota: estos archivos se abrieron para su análisis en entornos virtualizados o controlados, por lo tanto, si no conoce de esto no trate de hacer lo mismo en casa

AT00001.htm en si no sería grave porque es un HTML que parece organizar el texto del mensaje. Sin embargo podría ser diferente así que mejor no abrirlo.

El segundo archivo es un PDF o parece serlo (estado de cuenta dian). Generalmente las personas no asocian riesgos a los PDFs y es el error más común ya que precisamente los PDFs se usan para incrustar código malicioso. Generalmente la suite de seguridad de su equipo ayuda y detecta el malware (por esto es importante tener un sistema de seguridad – si quiere llamarlo antivirus – instalado en sus equipos de escritorio y móviles. Si me preguntan que cuál aconsejo, pues Kaspersky, que es la que uso y me va bien). De todos modos no solamente es confiar en la herramienta sino en el sentido común con base en todo lo que estamos aprendiendo.

Particularmente en este caso no detectó ningún virus ni malware ni nada ¿Y eso?

Pues resulta que el documento PDF en este caso no contiene embebido ningún archivo malicioso. Entonces ya después de haberlo revisado de punta a punta, descartar cualquier amenaza y proceder a abrirlo aparece un texto muy simple “Ver su deuda” que obviamente es un link para abrir una página en donde todo indica que es de riesgo.

No entiendo porque todo este rollo para simplemente enviar un hipervínculo en el PDF, si se podría haber hecho directamente en el cuerpo del correo. ¿Será que las personas ya saben que no dar clic en los "enlaces" dentro del cuerpo del mensaje y por eso lo enviaron así? ¿Para que no lo detecte el antivirus? Igual es un adjunto y asusta. En fin, se ve que como que quien hizo esto no es que tenga como mucho conocimiento o por lo menos no muy pulido técnicamente hablando. Si a alguien se le ocurre algo cuéntenme.

Y bueno, se puede ver que igualmente el link a donde mandaría el texto

img6
Y quedo en las mismas. Supuestamente es un acortador de URL pero en nada acortado (esto se usa para enmascarar una dirección tipo “www.cibercriminalesobsesionados.com” y mostrarla tipo "bit.ly/31o0yoV") Pareciera que esta dirección ya caducó y es algo muy común ya que este tipo de campañas para robo de información tienen un lapso de tiempo para evitar rastreos y demás.

En serio no sé si es un sistema muy complejo técnicamente de lo que no tengo ni idea o es algo tan mal armado que no sirve para nada (pero podría serlo o haberlo sido). De cualquier manera no creo que ustedes se vayan a dedicar a hacer todo lo que vimos aca para determinar si es malicioso o no, si se puede abrir o si viene algo mas. Además visitando la página de la DIAN vemos que hay mucho aviso e información de advertencia

img8

 

En fín, lo que he querido mostrar es que es mejor evitarnos problemas y seguir mis recomendaciones que resumidas son:

- Nunca hacer clic en los adjuntos, no descargarlos
- No ingresar a links enviados
- Leer bien el mensaje y encontrara errores que descartan la legalidad del correo
- Si es de los que “y que tal que sea cierto…” pues llamar a números o correos oficiales de los sitios web (no los que vienen en el correo)
- No se asusten, van a seguir llegando correos de este tipo pero ya estarán preparados - y no solo de la DIAN - y si no para la muestra un botón:

img7b

Esta cuenta que ven en la imagen es “mi cuenta del sacrificio” atacada por todos y para todos. Como pueden ver me llegan correos que me hubieran ocasionado por lo menos 10 infartos, y es verdad que tengo una que otra deudilla pero por Dios, acá se ve que le debo hasta el Papa. Obviamente todo falso. Incluso si notan podrán ver que hay uno en el que me han donado plata $$$ … otra historia.

Me da mucha risa cuando me llegan correos así porque realmente ya no creo en nada, así es que si alguno de mis bancos a los que les adeudo algo leen este post, pues tocará que me inviten a sus oficinas a tomar tinto y ahí si hablamos.

Hasta luego