Víctima de un scammer

El título de este artículo fue la exclamación de 2 clientes de Ikita en las últimas semanas. Y es que últimamente es frecuente recibir un correo electrónico que proviene de "nuestro propio correo electrónico" diciéndote que la cuenta de correo o que el servidor donde se tiene el sitio web ha sido hackeado y por ende se tiene que pagar para que te devuelvan el control.

Normalmente este tipo de mails, te llegan al correo con tu propia dirección de correo electrónico por lo que el usuario se espanta, un ejemplo de cómo se vería sería algo así:

Una vez que el usuario se inquieta, procede a abrir el correo electrónico para ver de qué se trata el mensaje y se puede ver un correo muy similar a esto:

El mensaje recibido es un correo que básicamente trata de chantajear al usuario. Voy a escribir una traducción aproximada de este mensaje del inglés al español para que el lector pueda entender claramente:

Mensaje en Inglés:

Hi, this account was infected! It will be good idea to change your password right this moment!
You probably do not heard about me and you may be most likely wanting to know why you are reading this particular electronic message, is it right?
I am ahacker who crackedyour email boxand devices and gadgetsnot so long ago.
Do not try to msg me or alternatively seek for me, it is definitely hopeless, since I sent you a letter from YOUR own hacked account.
I build in malware software on the adult videos (porn) site and suppose you enjoyed this website to have a good time (you know what I want to say).
While you were taking a look at films, your browser began operating like a RDP (Remote Control) that have a keylogger which gave me the ability to access your desktop and web camera.
Next step, my program aquired all info.
You entered passwords on the online resources you visited, I caught all of them.
Surely, it's possible to change each of them, or have already changed them.
However it does not matter, my app updates needed data every 5 minutes.
What I have done?
I compiled a reserve copy of your device. Of all the files and each contact.
I created a dual-screen movie. The 1st part presents the video you had been observing (you have a very good preferences, huh...), and the 2nd screen presents the movie from your camera. What actually do you have to do?
So, I believe, 1000 USD is basically a reasonable amount of money for this very little riddle. You will do the deposit by bitcoins (in case you don't know this, search “how to purchase bitcoin” in Google).
My bitcoin wallet address:
1JKJEkK4FEmWixuBBTm8SojW3ACTt****
(It is cAsE sensitive, so just copy and paste it).
Attention:
You will have 48 hours in order to make the payment. (I have an exclusive pixel to this email, and at this point I know that you have read this email).
To monitor the reading of a message and the actions inside it, I utilize a Facebook pixel. Thanks to them. (Anything that is used for the authorities can help us.)
In case I fail to get bitcoins, I'll undoubtedly send your video files to each of your contacts, such as family members, colleagues, and so forth?

Mensaje traducido al español:

Hola, ¡esta cuenta ha sido infectada! ¡Sería una buena idea cambiar su contraseña en este momento!
Probablemente no haya escuchado sobre mí y quisieras saber por qué está leyendo este mensaje electrónico en particular, ¿es correcto?
Soy un pirata informático que descifró tu buzón de correo electrónico, tus cuentas y tus dispositivos no hace mucho tiempo.
No trates de enviarme mensajes o, alternativamente, buscarme, es definitivamente inútil, ya que te envié un correo electrónico desde TU propia cuenta pirateada.
Construyo software malicioso en el sitio de videos para adultos (porno) y supongo que disfrutó de este sitio web para pasar un buen rato (ya sabe lo que quiero decir).
Mientras miraba las películas, su navegador comenzó a funcionar como un RDP (Control Remoto) que tiene un registrador de teclas que me dio la posibilidad de acceder a su computadora de escritorio y cámara web.
Siguiente paso, mi programa recaba toda la información.
Usted ingresó las contraseñas en los recursos en línea que visitó y capturé todas ellas.
Seguramente, es posible cambiar cada uno de ellas, o quizás ya las haya cambiado.
Sin embargo, no importa, mi aplicación actualiza los datos necesarios cada 5 minutos.
¿Qué he hecho?
Compilé una copia de respaldo de su dispositivo. De todos los archivos y de cada contacto.
He creado una película de doble pantalla. La primera parte presenta el video que usted había estado observando (tiene muy buenas preferencias, eh ...), y la segunda pantalla presenta la película de su cámara web.
¿Qué tienes que hacer en realidad?
Entonces, creo que 1000 USD es básicamente una cantidad razonable de dinero para este pequeño enigma. Usted hará el depósito por bitcoins (en caso de que no sepa esto, busque “cómo comprar bitcoin” en Google).
Mi dirección de billetera bitcoin:
1JKJEkK4FEmWixuBBTm8SojW3ACTt****
(Es sensible a las mayúsculas y minúsculas, así que simplemente cópielo y péguelo).
Atención:
Tendrá 48 horas para realizar el pago. (Tengo un píxel exclusivo para este correo electrónico, y en este punto sé que ha leído este correo electrónico).
Para monitorear la lectura de un mensaje y las acciones dentro de él, utilizo un píxel de Facebook. Gracias a ellos. (Cualquier cosa que se use para las autoridades puede ayudarnos.)
En caso de que no obtenga bitcoins, indudablemente enviaré sus archivos de video a cada uno de sus contactos, como miembros de la familia, colegas, etc.

Si bien es cierto que hoy en día cada vez existen más vulnerabilidades en los servidores y que los hackers pueden llegar a ser muy creativos para esto, también es cierto que existe la proliferación de los scammers para tratar de sacar ventaja sobre usuarios que no son expertos.


¿Qué es un scammer?

El scammer es, literalmente, un estafador. Concretamente, en el mundo virtual se denomina scam a la forma de cualquier negocio o esquema fraudulento que toma dinero u otros bienes de una persona confiada (víctima). Con el mundo cada vez más conectado gracias a Internet, las estafas en línea han aumentado y, con frecuencia, depende de los propios usuarios para ayudar a mantenerse cauteloso con la información que recibe por correos o a través de redes sociales.


¿Cómo detecto que este tipo de correo es un fraude?

  Analiza el contenido del correo

Una forma rápida para los usuarios novatos o no tan tecnológicos para desenmascarar esta situación es analizar el correo que se recibió. Vamos a tomar como ejemplo, el mensaje anterior:

  Analiza el header o el encabezado del correo electrónico

Si después de haber analizado el contenido del mensaje del correo electrónico, aún se tienen dudas, existe una forma un poco más técnica para saber si el correo fue enviado desde nuestra propia cuenta de correo. Usando el ejemplo de la interfaz de correo web que proporciona Roundcube. Para otros sistemas de correo en línea, se utilizan botones similares, solo es cuestión de hallar las opciones.

En Roundcube hacemos clic en la parte que dice más y se despliegan varias opciones y se elige aquella que dice mostrar código

Una vez que se ha abierto el código html, se podrá ver algo similar al código de abajo, en donde lo que está subrayado con amarillo es realmente quien emitió el correo, el servidor donde se generó el mensaje y finalmente la IP de dicho servidor:

Return-Path: <cheungwc@netvigator.com>
Delivered-To: tucorreo@tudominio.com
Received: from uscentral447.accountservergroup.com
by uscentral447.accountservergroup.com with LMTP id MBejH3YacFznEggAz5R7nA
for <tucorreo@tudominio.com>; Fri, 22 Feb 2019 10:51:18 -0500
Return-path: <cheungwc@netvigator.com>
Envelope-to: tucorreo@tudominio.com
Delivery-date: Fri, 22 Feb 2019 10:51:18 -0500
Received: from wobosm03.netvigator.com ([219.76.95.119]:33252)
by uscentral447.accountservergroup.com with esmtp (Exim 4.91)
(envelope-from <cheungwc@netvigator.com>)
id 1gxD6b-002I02-Co
for tucorreo@tudominio.com; Fri, 22 Feb 2019 10:51:18 -0500
Received: from wironout2a.netvigator.com (wironout2a.netvigator.com [219.76.94.30])
by wobosm03.netvigator.com (8.14.5/8.14.5) with ESMTP id x1MFp4Fs029484
for <tucorreo@tudominio.com>; Fri, 22 Feb 2019 23:51:05 +0800
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: =?us-ascii?q?A0Cu/gCUGXBc/y5eTNsRCkcDghkBPYMcE?=
=?us-ascii?q?hSEGo5hhQyCHogJikmFPBOBZoIFgwMLg2ciSgQCBAJtKEIBAQEBAQEBAQcChQY?=
=?us-ascii?q?bEVkhAhEDEgIETyeCfQGCDAUBgxqBFqdPgS+FOoRzgQuJHQECLIFxF4F/g26Ec?=
=?us-ascii?q?RIBEgFeAQUCCII7F4JAiCmBTxqNQowHCYZWhFeHTIFxiRyIAhGKDo8bC4UzCjU?=
=?us-ascii?q?wcXB+GlaBAQEBgQqQHz6CS1qBWoRyhA8VghMWAQE?=
X-IPAS-Result: =?us-ascii?q?A0Cu/gCUGXBc/y5eTNsRCkcDghkBPYMcEhSEGo5hhQyCHog?=
=?us-ascii?q?JikmFPBOBZoIFgwMLg2ciSgQCBAJtKEIBAQEBAQEBAQcChQYbEVkhAhEDEgIET?=
=?us-ascii?q?yeCfQGCDAUBgxqBFqdPgS+FOoRzgQuJHQECLIFxF4F/g26EcRIBEgFeAQUCCII?=
=?us-ascii?q?7F4JAiCmBTxqNQowHCYZWhFeHTIFxiRyIAhGKDo8bC4UzCjUwcXB+GlaBAQEBg?=
=?us-ascii?q?QqQHz6CS1qBWoRyhA8VghMWAQE?=
X-IronPort-AV: E=Sophos;i="5.58,400,1544457600";
d="scan'208";a="262168632"
Received: from wironoah01.netvigator.com ([219.76.94.46])
by wironout2.netvigator.com with ESMTP; 22 Feb 2019 23:51:05 +0800
Received: from 84-241-46-96.shatel.ir (HELO [84-241-46-96.shatel.ir]) ([84.241.46.96])
by wironoah01.netvigator.com with ESMTP; 22 Feb 2019 23:51:02 +0800
Subject: tucorreo
Feedback-ID: pzo1863gajzz1ze91almeb2coe8xzd99rv0cjs3lmzm3j1v:none:jywiqnfd
X-CSA-Complaints: whitelistcomplaints@netvigator.com
Content-Transfer-Encoding: base64
Content-Type: text/plain; charset=UTF-8
Date: Fri, 22 Feb 2019 16:51:00 +0100
List-Help: <mailto:abuse@netvigator.com>
User-Agent: UnoEuro Webmail
X-Sender: cheungwc@netvigator.com
X-Sender-Info: <cheungwc@netvigator.com>
Organization: Zyoqi
To: tucorreo@tudominio.com
Message-ID: <8pdhda4g2pmhonqrd37kn0albqwe6yi1jf2f@www.netvigator.com>
X-Mailer: Microsoft Windows Live Mail 15.4.3538.513
From: <tucorreo@tudominio.com>
X-Spam-Status: No, score=4.6
X-Spam-Score: 46
X-Spam-Bar: ++++
X-Spam-Flag: NO

Lo más probable es que el servidor que utilizó el scammer, en este caso el usuario cheungwc@netvigator.com, pudo haber pasado ciertas reglas y protocolos para no ser catalogado como spam, es decir que el servidor esté dentro de una lista blanca de correo electrónico, evitando pasar por algún filtro (antispam) de análisis o que sea descartado.
Los filtros antispam que vienen con los clientes de correo tienen tanto listas blancas como listas negras de remitentes y listas de términos que son buscados en los mensajes. La lista blanca de remitentes es una lista tanto de direcciones de correo, como nombres de dominio y/o direcciones IP, para aceptar la recepción de los correos recibidos. Así que, es probable que el dominio de netvigator.com esté "limpio" y solo sea un usuario ventajoso (scammer) tratando de hacer mal uso de este sistema.


Conclusión

Antes de entrar en pánico, hay que tratar de averiguar si el correo que se recibió no es de alguien que quiera estafar. Si aún así, crees que tu sitio ha sido hackeado o que en realidad tienes problemas de seguridad, trata de ponerte en contacto con el área de sistemas de tu empresa. Si no cuentas con un área de sistema, trata de buscar a alguien experto en la materia que te pueda asesorar y recuerda nunca realizar un pago a este tipo de correos fraudulentos.