Nuevamente la Universidad de Oriente ha comenzado a recibir mensajes para robar datos de los usuarios valiéndose de las técnicas de la ingeniería social.
Este tipo de mensaje consiste en crear una web falsa que muestra una interface similar a la de la Universidad (aunque este no es el caso) donde se insta a introducir los datos para renovar la cuenta y evitar su bloqueo.
Este es el texto del mensaje:
De: «Universidad-De-Oriente» <trc@usj.es>
Enviados: Martes, 16 de Enero 2018 9:45:25
Asunto: Verifica la cuenta de tu escuela
—
Estimado usuario de Universidad-De-Oriente:
Notamos que su cuenta de correo electrónico casi ha excedido su límite. Y es posible que no pueda enviar o recibir mensajes en cualquier momento a partir de ahora.
Haga clic en el enlace a continuación para renovar su cuenta;
http // abiluco.com / webauth / i /? mail.uo.edu.cu
no renovar su cuenta Estará bloqueado permanentemente
Gracias,
Equipo de correo electrónico
© 2018 Universidad-De-Oriente
Y esta es la página que se utiliza para robar los datos:
El vínculo que se brinda en el mensaje redirecciona a esta página:
http://www.123formbuilder.com/form-3338541/Universidad-De-Oriente
Como se aprecia no es una dirección de la Universidad y ni siquiera de un dominio cubano, sino de un sitio radicado en Seattle en la costa del Pacífico de los Estados Unidos. Este sitio se dedica a la creación de formularios diversos, que muy bien sirven a la tarea que se ha trazado este ciberdelincuente.
Es conveniente ahora que analicemos el mensaje y la página para que se puede aprender a determinar porque es un mensaje pirata.
El primer elemento es la dirección del remitente: «Universidad-De-Oriente» trc@usj.es, que como se puede apreciar es de un dominio español, siendo posiblemente una dirección cuyas credenciales fueron obtenidas por métodos similares al que ahora se utiliza.
El segundo elemento para desconfiar está en el asunto: “Verifica la cuenta de tu escuela”. Se refiere a escuela y no a universidad.
El tercer aspecto que nos debe llevar a desconfiar es la dirección de contacto: http // abiluco.com / webauth / i /? mail.uo.edu.cu, que nuevamente es un dominio fuera de Cuba, que posteriormente se redirecciona a otra dirección en Estados Unidos como se ha expuesto anteriormente. En el mensaje se habla de Equipo de correo electrónico, que en la UO es inexistente, pues los administradores aunque tengan asignaciones específicas, responden como departamento ante las situaciones relacionadas con las redes.
Ya en la página hay un cuarto elemento que brinda indicios para la desconfianza y es el texto del encabezamiento en idioma inglés. Esto sin contar que al ‘posicionarse sobre el botón Enviar no aparece la dirección a donde se envían los datos, pero al analizar el código fuente de la página queda claro que se teje una red de páginas usando la posibilidad de incluir códigos guardados en otras páginas que permiten borrar el rastro que lleve al delincuente y robar los datos. Debe observarse además que esta un es una página segura (https) como las de nuestra Universidad.
Otra dirección que está siendo usada procede de Brasil y utiliza el email: «post» <humberto.vasconcelos@tjpe.jus.br> y el enlace web: https://zimbraweb3.wixsite.com/zwecc
Una vez más se llama la atención sobre el hecho de no enviar datos a personas desconocidas, no responder mensajes de desconocidos y a recordar que nunca los administradores de la red le solicitarán sus datos porque es una práctica que sea el propietario de la cuenta quien los introduzca para que estos queden encriptados en el servidor.