viernes, 11 de junio de 2010

Otra de Facebook

Mirando el correo, he visto que en spam había un correo procedente de Facebook. Lo primero que he pensado es que sería un correo de phishing. Y, en efecto, así era:

Correo Phishing

Así, lo primero que he hecho ha sido mirar el correo original:

Opciones para mostrar original

Lo primero que me he buscado ha sido un a href. Y, evidentemente, ha salido una URL que no era la esperada. También, por supuesto, he tapado las URLs sospechosas.:

Correo sospechoso

¿Qué más se puede mirar? Se podría mirar de dónde procede:

Procedencia correo

Y cuya IP procede de Estados Unidos. También podemos mierar el registro SPF. Lo pone neutral.


Registro SPF.

Como se puede ver, es neutral. Pero claro, no está diciendo que Facebook lo tenga neutral. Está diciendo que el dominio .ae desde donde procede es neutral.

Y... Poco más puedo contar sobre lo que he descubierto de este correo. Simplemente se me había ocurrido mirar cómo estaba construido por debajo para hacer el phishing y contarlo, que ya llevaba unos días sin decir nada. Como ya sabéis, tengo varias cosas en mente. Pero requieren de tiempo porque hay que ir montando el escenario para hacer las capturas o los pasos a seguir. 

Mmmmh... Como he dicho, no suelo hacer este tipo de análisis. Pero, ¿alguien lo hace? Si es así: ¿Cómo? ¿A qué conclusiones llega?

No hay comentarios:

Publicar un comentario