Lo primero que se hizo fue mirar de dónde provenía el correo. El dominio: @facebookmail.com. Como se dio el dominio por válido, miró el contenido de los dos correos y había un enlace que indicaba que si no había solicitado el cambio de password que se hiciera click en éste. Y así se hizo. ¿Resultado? Una página cuya URL indicaba que era de Facebook avisando de que se había cancelado el reseteo.
Más adelante se hicieron más averiguaciones: ¿Era realmente el domino @facebookmail.com de la empresa? Según las entradas de Google, algunas entradas indicaban que era un domimio para scam (Ej01, Ej02)y otras, perteneciente al foro de la compañía, que sí era legítimo (Ej01, Ej02 ).
Una búsqueda en algún WhoIs me ha ayudado a saber más sobre el dominio del que estamos cuestionando su pertenencia. Si hacemos una comparación del perteneciente a facebook.com con respecto a facebookmail.com podemos constatar de que ambos dominios tienen los mismos datos.
Aún así, podríamos decir que los datos de contacto entregados del segundo dominio podrían haber sido copipasteados del primero. ¿Más cosas que nos pudieran dar pistas de que es un correo falso? Aunque en ocasiones falle, Google suele atinar y descubrir que se está intentando suplantar la identidad de la empresa. Además, he hecho otra validación más: he mirado las cabeceras del correo en cuestión. La primera cosa que he pensado en mirar ha sido el resultado de la comprobación SPF:
Received-SPF: pass (google.com: domain of password[valor_censurado]@facebookmail.com designates 66.220.155.153 as permitted sender) client-ip=66.220.155.153
Tenemos un pass. Aún así, me gustaría comprobar a quién pertenece esa dirección IP, 66.220.155.153. Una vez más, haciendo uso de Google encuentro un servicio, IP Location Finder, nos devuelve:
Encontrando Facebookmail con IP Location Finder |
Aunque me he centrado en estos valores también se puede tener en cuenta que en las cabeceras aparecen más valores como:
- Comprobación DKIM: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=facebookmail.com;
- Received del dominio original: Received: from facebook.com
Si bien algunos de estos son spoofeables estos datos me hacen pensar que el correo era legítimo. Además, estos datos se han realizado desde otro equipo distinto a aquel desde el que abrieron el correo sospechoso.
No hay comentarios:
Publicar un comentario