Ayer por la tarde recibí un email de mi hermana notificándome de un correo que supuestamente le había enviado Microsoft con el asunto «Cuenta Desactivada». Sinceramente me sorprendió que ella sospechara de phishing por lo bien que lo han hecho esta vez. …
- De: Equipo de Windows Live <communications@windowslive.com>
- Fecha: 6 de junio de 2012 18:13:27 GMT+02:00
- Para: ejemplo@itpro.es
- Asunto: Cuenta Desactivada
- El cuerpo del mensaje:
| Notificación: Cuenta Desactivada
Su cuenta permaneció inactiva las ultimas horas, teniendo problemas constantemente para la conexión a los sitios de Microsoft – Windows Live Hotmail®, por lo cual nuestro Centro de Seguridad decidió proteger su privacidad desactivando su bandeja de entrada de forma que su información se mantenga guardada. Para activar su cuenta e iniciar sesión en los servicios de Microsoft – Windows Live Hotmail®, se le pedirá que especifique su dirección de correo electrónico y una contraseña, a las que nos referimos como sus credenciales de Microsoft – Windows Live Hotmail®. Si tiene una dirección de correo electrónico alternativa que haya sido proporcionada por Microsoft – Windows Live Hotmail® (p. ej. las que acaban en hotmail.com) esa dirección de correo electrónico y la contraseña asociada serán sus credenciales de Microsoft – Windows Live Hotmail®. Puede reactivar nuevamente su cuenta o cancelarla definitivamente. Además, dispondrá de instrucciones claras que le indicarán el modo de cancelar la suscripción de su cuenta. Las siguientes opciones, si no son seleccionadas, harán que su cuenta nuevamente permanezca inactiva, de forma que deberá comunicarse con el soporte de Microsoft – Windows Live Hotmail®. Usted tiene 15 días a partir del envío de esta notifiación, para reactivar su cuenta de Microsoft – Windows Live Hotmail®, pasado ese tiempo su cuenta quedará automáticamente eliminada. Para reactivar y habilitar su cuenta de Microsoft – Windows Live Hotmail®, haga clic en Activar Cuenta Activar Cuenta Eliminar Cuenta Atentamente, © 2012 Microsoft – Windows Live Hotmail® |
..
Message-Id: <communications@windowslive.com>
Vemos que el mail es bastante creíble, pero ahora vamos a ver la mecánica…. Si hacemos click sobre cualquiera de los dos enlaces (Activar cuenta/Eliminar Cuenta), nos llevará a la siguiente URL con nuestra cuenta de correo en pantalla:
Nota: Si copias directamente esa URL en el navegador, te devolverá un error 404 «Not Found».
Ahora bien, si miramos la ruta del enlace que nos viene en el mail, veremos que en realidad la URL es esta:
http://log1n.1ive.com.msg79.info/ppsecure/post3.php?u=ZWplbXBsb0BpdHByby5lcw==&p=aHR0cDovL3d
3dy5ob3RtYWlsLmNvbS8=&id=OTgyNTQ=&lng=es&n=amFqYSBwYXJlY2Uga2Ugc29zIHZpdm8gZWg/IDpQ
IGJ1ZW5vIHNhbHVkb3MgYSB0dSBzZfFvcmEgOlA=&x=Y3VlbnRhZGVzYWN0aXZhZGE=
Pero tras acceder a ese enlace, automáticamente se redirige a la URL que mencionamos anteriormente.
Ahora vamos a analizar las variables de método GET, que como podemos observar van cifradas en BASE64…
[U]: ZWplbXBsb0BpdHByby5lcw==
(descifrado: ejemplo@itpro.es)
[p]: aHR0cDovL3d3dy5ob3RtYWlsLmNvbS8=
(descifrado: http://www.hotmail.com/)
[id]: OTgyNTQ=
(descifrado: 98254)
[lng]: es
[n]: amFqYSBwYXJlY2Uga2Ugc29zIHZpdm8gZWg/IDpQIGJ1ZW5vIHNhbHVkb3MgYSB0dSBzZfFvcmEgOlA=
(descifrado: jaja parece ke sos vivo eh? 😛 bueno saludos a tu señora 😛)
¿Qué te parece? …creo que puedo imaginarlo tras ver el mensaje del hacker, jeje. Ya sabéis, fijaros siempre en el dominio que te pone en negrita Internet Explorer, que en este caso nos ha remarcado msg79.info, donde debería ser live.com.
Un abrazo!
