¡Me hackearon mi correo electrónico y ahora tengo que pagar!

Víctima de un scammer

El título de este artículo fue la exclamación de 2 clientes de Ikita en las últimas semanas. Y es que últimamente es frecuente recibir un correo electrónico que proviene de "nuestro propio correo electrónico" diciéndote que la cuenta de correo o que el servidor donde se tiene el sitio web ha sido hackeado y por ende se tiene que pagar para que te devuelvan el control.

Normalmente este tipo de mails, te llegan al correo con tu propia dirección de correo electrónico por lo que el usuario se espanta, un ejemplo de cómo se vería sería algo así:

Una vez que el usuario se inquieta, procede a abrir el correo electrónico para ver de qué se trata el mensaje y se puede ver un correo muy similar a esto:

El mensaje recibido es un correo que básicamente trata de chantajear al usuario. Voy a escribir una traducción aproximada de este mensaje del inglés al español para que el lector pueda entender claramente:

Mensaje en Inglés:

Hi, this account was infected! It will be good idea to change your password right this moment!
You probably do not heard about me and you may be most likely wanting to know why you are reading this particular electronic message, is it right?
I am ahacker who crackedyour email boxand devices and gadgetsnot so long ago.
Do not try to msg me or alternatively seek for me, it is definitely hopeless, since I sent you a letter from YOUR own hacked account.
I build in malware software on the adult videos (porn) site and suppose you enjoyed this website to have a good time (you know what I want to say).
While you were taking a look at films, your browser began operating like a RDP (Remote Control) that have a keylogger which gave me the ability to access your desktop and web camera.
Next step, my program aquired all info.
You entered passwords on the online resources you visited, I caught all of them.
Surely, it's possible to change each of them, or have already changed them.
However it does not matter, my app updates needed data every 5 minutes.
What I have done?
I compiled a reserve copy of your device. Of all the files and each contact.
I created a dual-screen movie. The 1st part presents the video you had been observing (you have a very good preferences, huh...), and the 2nd screen presents the movie from your camera. What actually do you have to do?
So, I believe, 1000 USD is basically a reasonable amount of money for this very little riddle. You will do the deposit by bitcoins (in case you don't know this, search “how to purchase bitcoin” in Google).
My bitcoin wallet address:
1JKJEkK4FEmWixuBBTm8SojW3ACTt****
(It is cAsE sensitive, so just copy and paste it).
Attention:
You will have 48 hours in order to make the payment. (I have an exclusive pixel to this email, and at this point I know that you have read this email).
To monitor the reading of a message and the actions inside it, I utilize a Facebook pixel. Thanks to them. (Anything that is used for the authorities can help us.)
In case I fail to get bitcoins, I'll undoubtedly send your video files to each of your contacts, such as family members, colleagues, and so forth?

Mensaje traducido al español:

Hola, ¡esta cuenta ha sido infectada! ¡Sería una buena idea cambiar su contraseña en este momento!
Probablemente no haya escuchado sobre mí y quisieras saber por qué está leyendo este mensaje electrónico en particular, ¿es correcto?
Soy un pirata informático que descifró tu buzón de correo electrónico, tus cuentas y tus dispositivos no hace mucho tiempo.
No trates de enviarme mensajes o, alternativamente, buscarme, es definitivamente inútil, ya que te envié un correo electrónico desde TU propia cuenta pirateada.
Construyo software malicioso en el sitio de videos para adultos (porno) y supongo que disfrutó de este sitio web para pasar un buen rato (ya sabe lo que quiero decir).
Mientras miraba las películas, su navegador comenzó a funcionar como un RDP (Control Remoto) que tiene un registrador de teclas que me dio la posibilidad de acceder a su computadora de escritorio y cámara web.
Siguiente paso, mi programa recaba toda la información.
Usted ingresó las contraseñas en los recursos en línea que visitó y capturé todas ellas.
Seguramente, es posible cambiar cada uno de ellas, o quizás ya las haya cambiado.
Sin embargo, no importa, mi aplicación actualiza los datos necesarios cada 5 minutos.
¿Qué he hecho?
Compilé una copia de respaldo de su dispositivo. De todos los archivos y de cada contacto.
He creado una película de doble pantalla. La primera parte presenta el video que usted había estado observando (tiene muy buenas preferencias, eh ...), y la segunda pantalla presenta la película de su cámara web.
¿Qué tienes que hacer en realidad?
Entonces, creo que 1000 USD es básicamente una cantidad razonable de dinero para este pequeño enigma. Usted hará el depósito por bitcoins (en caso de que no sepa esto, busque “cómo comprar bitcoin” en Google).
Mi dirección de billetera bitcoin:
1JKJEkK4FEmWixuBBTm8SojW3ACTt****
(Es sensible a las mayúsculas y minúsculas, así que simplemente cópielo y péguelo).
Atención:
Tendrá 48 horas para realizar el pago. (Tengo un píxel exclusivo para este correo electrónico, y en este punto sé que ha leído este correo electrónico).
Para monitorear la lectura de un mensaje y las acciones dentro de él, utilizo un píxel de Facebook. Gracias a ellos. (Cualquier cosa que se use para las autoridades puede ayudarnos.)
En caso de que no obtenga bitcoins, indudablemente enviaré sus archivos de video a cada uno de sus contactos, como miembros de la familia, colegas, etc.

Si bien es cierto que hoy en día cada vez existen más vulnerabilidades en los servidores y que los hackers pueden llegar a ser muy creativos para esto, también es cierto que existe la proliferación de los scammers para tratar de sacar ventaja sobre usuarios que no son expertos.


¿Qué es un scammer?

El scammer es, literalmente, un estafador. Concretamente, en el mundo virtual se denomina scam a la forma de cualquier negocio o esquema fraudulento que toma dinero u otros bienes de una persona confiada (víctima). Con el mundo cada vez más conectado gracias a Internet, las estafas en línea han aumentado y, con frecuencia, depende de los propios usuarios para ayudar a mantenerse cauteloso con la información que recibe por correos o a través de redes sociales.


¿Cómo detecto que este tipo de correo es un fraude?

  Analiza el contenido del correo

Una forma rápida para los usuarios novatos o no tan tecnológicos para desenmascarar esta situación es analizar el correo que se recibió. Vamos a tomar como ejemplo, el mensaje anterior:

  •   Hola, ¡esta cuenta ha sido infectada! ¡Sería una buena idea cambiar su contraseña en este momento! - si se analiza, la persona que redactó el correo utilizó una oración genérica, en ningún momento ha mencionado tu nombre completo
  •   Soy un pirata informático que descifró tu buzón de correo electrónico, tus cuentas y tus dispositivos no hace mucho tiempo - lo primero que trata de hacer es alardear sus conocimientos en informática y que ya logró tener acceso a "todos" tus dispositivos
  •   No trates de enviarme mensajes o, alternativamente, buscarme, es definitivamente inútil, ya que te envié un correo electrónico desde TU propia cuenta pirateada. - Acto seguido, te va a indicar que no lo trates de contactar porque utilizó tu propio correo para contactarte
  •   Usted ingresó las contraseñas en los recursos en línea que visitó y capturé todas ellas. - La persona va a tratar de intimidar diciendo que tiene todos las contraseñas a diferentes cuentas de correos, bancarias, etc. Sin embargo, nunca hace específico algún ejemplo de lo que se robó. Otra vez, habla de forma genérica
  •   Seguramente, es posible cambiar cada uno de ellas, o quizás ya las haya cambiado. Sin embargo, no importa, mi aplicación actualiza los datos necesarios cada 5 minutos. - Para poder acceder a este tipo de recursos, primero se debe de tener acceso al servidor principal y en muchos casos tener ciertos privilegios como administrador para poder instalar un software para que haga lo que la persona dice. Otra cosa que podría ser, es que el atacante hubiera instalado algún malaware en nuestra computadora que extraiga la información. Aún así, es un tema mucho más complejo que lo que menciona el scammer, porque hay detrás de un web hosting toda una infraestructura de seguridad, que si bien es cierto no es totalmente perfecta, es muy difícil de romper por un solo hacker. Ahora bien, si la computadora del usuario cuenta con un antivirus es poco probable que el malaware pueda actuar sin ser detectado o bloqueado por el antivirus
  •   ¿Qué he hecho? - Bla, bla, bla... un verdadero hacker no describe lo que hace sino lo que quiere como respuesta final de un usuario y trataría de ponerse en contacto con la persona amenazada por una forma de comunicación diferente, nunca se comunicaría a través de un mail electrónico. Así que todo lo que diga aquí, lo más probable es que sean adornos para atemorizar más al usuario final
  •   ¿Qué tienes que hacer en realidad? Entonces, creo que 1000 USD es básicamente una cantidad razonable de dinero para este pequeño enigma. Usted hará el depósito por bitcoins - Los scammers normalmente tratarán de estafar con cantidades no muy elevadas, cifras que puedan ser pagadas de forma accesible. Un verdadero hacker, no va por mil dólares, un verdadero hackeo se realiza de forma grupal y tratarán de extraer información relevante de una empresa como base de datos de usuarios o si van por dinero, lo más probable es que vayan por millones de dólares. Por otro lado, nunca harían una amenaza por correo electrónico
  •   Mi dirección de billetera bitcoin: ********************************* Atención: Tendrá 48 horas para realizar el pago. - Los scammers solicitan transferencias electrónicas a través de sistemas no estandarizados o con baja regulación fiscal como las criptomonedas. También, como les interesa el dinero rápido, tratarán de dar pocos días para realizar la transacción
  •   Para monitorear la lectura de un mensaje y las acciones dentro de él, utilizo un píxel de Facebook. Gracias a ellos. (Cualquier cosa que se use para las autoridades puede ayudarnos.) - Los scammers dirán cosas técnicas con poco sentido para el usuario común como un gancho, porque en realidad no se puede poner un pixel de Facebook para un rastreo de correo. El pixel de Facebook tiene otras finalidades que son útiles en cuestiones de mercadotecnia y generalmente se usa directamente sobre el código html en los sitios web
  •   En caso de que no obtenga bitcoins, indudablemente enviaré sus archivos de video a cada uno de sus contactos, como miembros de la familia, colegas, etc. - El scammer o estafador cerrará su mensaje con alguna amenaza, intimidación o insistirá con alguna forma de extorsión para infundir miedo en el usuario

  Analiza el header o el encabezado del correo electrónico

Si después de haber analizado el contenido del mensaje del correo electrónico, aún se tienen dudas, existe una forma un poco más técnica para saber si el correo fue enviado desde nuestra propia cuenta de correo. Usando el ejemplo de la interfaz de correo web que proporciona Roundcube. Para otros sistemas de correo en línea, se utilizan botones similares, solo es cuestión de hallar las opciones.

En Roundcube hacemos clic en la parte que dice más y se despliegan varias opciones y se elige aquella que dice mostrar código

Una vez que se ha abierto el código html, se podrá ver algo similar al código de abajo, en donde lo que está subrayado con amarillo es realmente quien emitió el correo, el servidor donde se generó el mensaje y finalmente la IP de dicho servidor:

Return-Path: <>
Delivered-To:
Received: from uscentral447.accountservergroup.com
by uscentral447.accountservergroup.com with LMTP id MBejH3YacFznEggAz5R7nA
for <>; Fri, 22 Feb 2019 10:51:18 -0500
Return-path: <>
Envelope-to:
Delivery-date: Fri, 22 Feb 2019 10:51:18 -0500
Received: from wobosm03.netvigator.com ([219.76.95.119]:33252)
by uscentral447.accountservergroup.com with esmtp (Exim 4.91)
(envelope-from <>)
id 1gxD6b-002I02-Co
for ; Fri, 22 Feb 2019 10:51:18 -0500
Received: from wironout2a.netvigator.com (wironout2a.netvigator.com [219.76.94.30])
by wobosm03.netvigator.com (8.14.5/8.14.5) with ESMTP id x1MFp4Fs029484
for <>; Fri, 22 Feb 2019 23:51:05 +0800
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: =?us-ascii?q?A0Cu/gCUGXBc/y5eTNsRCkcDghkBPYMcE?=
=?us-ascii?q?hSEGo5hhQyCHogJikmFPBOBZoIFgwMLg2ciSgQCBAJtKEIBAQEBAQEBAQcChQY?=
=?us-ascii?q?bEVkhAhEDEgIETyeCfQGCDAUBgxqBFqdPgS+FOoRzgQuJHQECLIFxF4F/g26Ec?=
=?us-ascii?q?RIBEgFeAQUCCII7F4JAiCmBTxqNQowHCYZWhFeHTIFxiRyIAhGKDo8bC4UzCjU?=
=?us-ascii?q?wcXB+GlaBAQEBgQqQHz6CS1qBWoRyhA8VghMWAQE?=
X-IPAS-Result: =?us-ascii?q?A0Cu/gCUGXBc/y5eTNsRCkcDghkBPYMcEhSEGo5hhQyCHog?=
=?us-ascii?q?JikmFPBOBZoIFgwMLg2ciSgQCBAJtKEIBAQEBAQEBAQcChQYbEVkhAhEDEgIET?=
=?us-ascii?q?yeCfQGCDAUBgxqBFqdPgS+FOoRzgQuJHQECLIFxF4F/g26EcRIBEgFeAQUCCII?=
=?us-ascii?q?7F4JAiCmBTxqNQowHCYZWhFeHTIFxiRyIAhGKDo8bC4UzCjUwcXB+GlaBAQEBg?=
=?us-ascii?q?QqQHz6CS1qBWoRyhA8VghMWAQE?=
X-IronPort-AV: E=Sophos;i="5.58,400,1544457600";
d="scan'208";a="262168632"
Received: from wironoah01.netvigator.com ([219.76.94.46])
by wironout2.netvigator.com with ESMTP; 22 Feb 2019 23:51:05 +0800
Received: from 84-241-46-96.shatel.ir (HELO [84-241-46-96.shatel.ir]) ([84.241.46.96])
by wironoah01.netvigator.com with ESMTP; 22 Feb 2019 23:51:02 +0800
Subject: tucorreo
Feedback-ID: pzo1863gajzz1ze91almeb2coe8xzd99rv0cjs3lmzm3j1v:none:jywiqnfd
X-CSA-Complaints:
Content-Transfer-Encoding: base64
Content-Type: text/plain; charset=UTF-8
Date: Fri, 22 Feb 2019 16:51:00 +0100
List-Help: <mailto:>
User-Agent: UnoEuro Webmail
X-Sender:
X-Sender-Info: <>
Organization: Zyoqi
To:
Message-ID: <>
X-Mailer: Microsoft Windows Live Mail 15.4.3538.513
From: <>
X-Spam-Status: No, score=4.6
X-Spam-Score: 46
X-Spam-Bar: ++++
X-Spam-Flag: NO

Lo más probable es que el servidor que utilizó el scammer, en este caso el usuario , pudo haber pasado ciertas reglas y protocolos para no ser catalogado como spam, es decir que el servidor esté dentro de una lista blanca de correo electrónico, evitando pasar por algún filtro (antispam) de análisis o que sea descartado.
Los filtros antispam que vienen con los clientes de correo tienen tanto listas blancas como listas negras de remitentes y listas de términos que son buscados en los mensajes. La lista blanca de remitentes es una lista tanto de direcciones de correo, como nombres de dominio y/o direcciones IP, para aceptar la recepción de los correos recibidos. Así que, es probable que el dominio de netvigator.com esté "limpio" y solo sea un usuario ventajoso (scammer) tratando de hacer mal uso de este sistema.


Conclusión

Antes de entrar en pánico, hay que tratar de averiguar si el correo que se recibió no es de alguien que quiera estafar. Si aún así, crees que tu sitio ha sido hackeado o que en realidad tienes problemas de seguridad, trata de ponerte en contacto con el área de sistemas de tu empresa. Si no cuentas con un área de sistema, trata de buscar a alguien experto en la materia que te pueda asesorar y recuerda nunca realizar un pago a este tipo de correos fraudulentos.

Cómo llenar un recibo de honorarios o un CFDI 2019
Adiós a Google +
 

Clientes / Proyectos

  • KidZania
  • Vive Digital
  • Diffruta
  • Simonela
  • Daniela Tapia
  • Faficom
  • Ben 3D
  • Raamy
  • Celeris
  • Universidad Motolinía
  • Policlínica New Dimensions
  • Avenida Conkal
  • Armonía Decora
  • Estylosa
  • Safekids Mexico
  • Montessori Nan
  • Casa de Proyectos
  • Club Rotario Aragón
  • Somos Chanekes
  • Norris & Elliott
  • Evenflo
  • Hagamos La Vaca
  • Rotary Distrito 4170
  • Hand Relax
  • Otoniel Solis
  • Civflex
  • Tarjeta Médica Pop
  • Ifonly México
  • Master Payment
  • Tarjeta Médica Pop
  • Club Campestre Saltillo
  • Napperz
  • Ola Verde MX
  • Highkey
  • Gamyr
  • LTEC
  • Quantum IP
0
Compartido