miércoles, 11 de mayo de 2016

Facebook y renovar la contraseña

Hace poco a un familiar le llegó un correo en el que le indicaban que se había intentado cambiar su contraseña de Facebook. Era rarísimo. 

Lo primero que se hizo fue mirar de dónde provenía el correo. El dominio:  @facebookmail.com. Como se dio el dominio por válido, miró el contenido de los dos correos y había un enlace que indicaba que si no había solicitado el cambio de password que se hiciera click en éste. Y así se hizo. ¿Resultado? Una página cuya URL indicaba que era de Facebook avisando de que se había cancelado el reseteo. 

Más adelante se hicieron más averiguaciones: ¿Era realmente el domino @facebookmail.com de la empresa? Según las entradas de Google, algunas entradas indicaban que era un domimio para scam (Ej01, Ej02)y otras, perteneciente al foro de la compañía, que sí era legítimo (Ej01, Ej02 ). 

Una búsqueda en algún WhoIs me ha ayudado a saber más sobre el dominio del que estamos cuestionando su pertenencia. Si hacemos una comparación del perteneciente a facebook.com con respecto a facebookmail.com podemos constatar de que ambos dominios tienen los mismos datos. 

Aún así, podríamos decir que los datos de contacto entregados del segundo dominio podrían haber sido copipasteados del primero. ¿Más cosas que nos pudieran dar pistas de que es un correo falso? Aunque en ocasiones falle, Google suele atinar y descubrir que se está intentando suplantar la identidad de la empresa. Además, he hecho otra validación más: he mirado las cabeceras del correo en cuestión. La primera cosa que he pensado en mirar ha sido el resultado de la comprobación SPF: 

Received-SPF: pass (google.com: domain of password[valor_censurado]@facebookmail.com designates 66.220.155.153 as permitted sender) client-ip=66.220.155.153

Tenemos un pass. Aún así, me gustaría comprobar a quién pertenece esa dirección IP, 66.220.155.153. Una vez más, haciendo uso de Google encuentro un servicio, IP Location Finder, nos devuelve:

Encontrando Facebookmail con IP Location Finder
Encontrando Facebookmail con IP Location Finder
Por lo tanto, y siempre teniendo en cuenta estos datos, se puede afirmar que el correo se ha mandado desde la localización de los servidores de Facebook. 

Aunque me he centrado en estos valores también se puede tener en cuenta que en las cabeceras aparecen más valores como:
  • Comprobación DKIM:  DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=facebookmail.com;
  • Received del dominio original: Received: from facebook.com
Si bien algunos de estos son spoofeables estos datos me hacen pensar que el correo era legítimo. Además, estos datos se han realizado desde otro equipo distinto a aquel desde el que abrieron el correo sospechoso. 
Publicado por agux en 05:15
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)