{"id":170,"date":"2017-03-08T10:39:57","date_gmt":"2017-03-08T15:39:57","guid":{"rendered":"http:\/\/si.uniblog.uo.edu.cu\/?p=170"},"modified":"2018-05-08T18:38:34","modified_gmt":"2018-05-08T18:38:34","slug":"correos-pescar-contrasenas-uo","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=170","title":{"rendered":"Correos para \u00abpescar\u00bb contrase\u00f1as en los buzones de la UO."},"content":{"rendered":"

En los \u00faltimos d\u00edas se han recibido en buzones de la UO correos para \u201cpescar\u201d contrase\u00f1as desde una supuesta cuenta en la Universidad of St. Gallen. Suiza. (HSG).<\/strong><\/p>\n

<\/p>\n

Por las caracter\u00edsticas del mensaje esto es un t\u00edpico caso de \u201cpesca\u201d que forma parte de los m\u00e9todos de la ingenier\u00eda social.<\/p>\n

Entre las direcciones que se muestran en el mensaje hay claros errores que muestran que con el correo se est\u00e1 tratando de localizar los buzones activos de forma que con una respuesta de estos se confirme su existencia para entonces comenzar a desarrollar la actividad que se prev\u00e9 desarrollar\u00a0 con el mismo, que puede tener muchas aristas que van desde un objetivo comercial hasta fines pol\u00edticos, pasado por la estafa, la suplantaci\u00f3n de identidad, etc.<\/p>\n

Parta iniciar el an\u00e1lisis p\u00e1rtase de la cuenta maida.aljovic@student.unisg.ch y podemos preguntarnos porque un administrador de sistemas usar\u00eda una cuenta de estudiante, cuando las cuentas del personal de la Universidad tienen otras caracter\u00edsticas, por ejemplo:<\/p>\n

Dr. Arno Hold, \u00a0Dean External Relations, \u00a0arno.hold@unisg.ch<\/p>\n

Rebecca Bilfinger, Programme Manager, cems@unisg.ch<\/p>\n

Como se aprecia las direcciones del personal directivo o administrativo de la Universidad no tienen en el dominio \u00a0el t\u00e9rmino \u201cstudent\u201d.<\/p>\n

La segunda cuesti\u00f3n: no es posible que la Oficina de Comunicaci\u00f3n de la Universidad sea la que atienda un servicio que es netamente t\u00e9cnico y est\u00e1 en manos de la administraci\u00f3n de la red de cualquier universidad.<\/p>\n

Pueden estar pasando dos cosas, o es una cuenta que est\u00e1 siendo usada con un sniffer, o sea una conexi\u00f3n pinchada donde los mensajes se redireccionan a otro lugar y se filtran antes de enviarlos a la persona leg\u00edtima o sencillamente es una cuenta fantasma que es obra de una hacker que est\u00e1 recopilando la informaci\u00f3n desde una direcci\u00f3n ficticia con una t\u00e9cnica de redireccionamiento.<\/p>\n

Obs\u00e9rvese ahora las caracter\u00edsticas de las direcciones a las que se remite el mensaje, muchas son antiguas o presentan irregularidades y pr\u00e9stese atenci\u00f3n a como en el cuerpo del mensaje se corrige el dominio con el \u201c@uo.edu.cu\u201d. Esta es una muestra m\u00e1s que nos pone en guardia contra estos mensajes.<\/p>\n

rosa@rmrb.uo.edu.cu<\/a> ,<\/p>\n

robert@agr.uo.edu.cu<\/a> ,<\/p>\n

robert@csh.uo.edu.cu<\/a>,<\/p>\n

roberto@palma.sum.uo.edu.cu<\/a>,<\/p>\n

robertomg@cnt.uo.edu.cu<\/a>,<\/p>\n

\u00a0roca@ceefe.uo.edu.cu<\/a>,<\/p>\n

roca@fim.uo.edu.cu<\/a><\/p>\n

riestra@dpscold.sc.bpa.cu<\/a>,\u00a0\u00a0\u00a0 riestra@fie.uo.edu.cu<\/a>\u00a0\u00a0 (curioso dos direcciones en lugares diferentes) No est\u00e1 en el directorio de correos de la UO.<\/p>\n

root@ictjam.u.o.edu.cu<\/a> (error en la direcci\u00f3n de cuando exist\u00eda un dominio ispjam)<\/p>\n

rdiaz@ispjam.uo.edu.cu<\/a><\/p>\n

\u00abporfa…darias@uo.edu.cu\u00bb<\/p>\n

riquenes@eco.uo.edu.cu<\/a><\/p>\n

Incluso existen direcciones de personas que hace m\u00e1s de 10 a\u00f1os no trabajan en la Universidad.<\/p>\n

Como se aprecia hay direcciones viejas o err\u00f3neas que hacen pensar en una captura, robo o venta de una base de datos de personas que se han registrado en un sitio, puede ser el sitio de la propia universidad de St Gallen y que personas mal intencionadas est\u00e9n usando ahora para obtener algo.<\/p>\n

Adem\u00e1s otra muestra es que a todos los casos les llega este texto<\/p>\n

El buz\u00f3n est\u00e1 casi lleno y anticuado<\/strong><\/p>\n\n\n\n
\n

1.93GB<\/strong><\/p>\n<\/td>\n

<\/td>\n\n

2.01GB<\/strong><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Es muy raro que todos los supuestos buzones llenos y aticuados tengan el mismo espacio ocupado<\/p>\n

De hecho este proceder que se toma del correo es cl\u00e1sico en la captura de direcciones verdaderas a trav\u00e9s de la ingenier\u00eda social.<\/p>\n

\u201cUniversidad de Oriente | UO del futuro, Cuba Publicar a todos los usuarios del e-mail ****@ uo.edu.cu . Navegar a trav\u00e9s del mantenimiento del sitio web de Office Communications University, que es responsable de mantener nuestra base de datos y nuestro centro de correo electr\u00f3nico. Esto es para desactivar las cuentas de correo electr\u00f3nico inactivas \/ no utilizadas \/ inv\u00e1lidas, para dar cabida a m\u00e1s empleados y estudiantes.
\nHaga \u00abHaga clic aqu\u00ed\u00bb para activar y mantener. <\/strong><\/p>\n

NOTA: Para utilizar este servicio, primero debe activar su Universidad de Oriente | UO del futuro, Cuba Nombre de usuario (@ uo.edu.cu )\u201d<\/p>\n

Cuando usted hace clic en el enlace marcado en rojo est\u00e1 diciendo \u201csi mi direcci\u00f3n es cierta\u201d, la muestra es que en el sitio web de esa universidad no existe un v\u00ednculo<\/strong> a\u00a0 la \u201cOffice Communications University\u201d \u00a0(ver p\u00e1g. <\/strong>www.unisg.ch<\/strong><\/a>). Como tampoco en la p\u00e1gina existe un enlace visible a un webmail o sitio para el correo electr\u00f3nico.<\/strong><\/p>\n

Como proceder en estos casos:<\/p>\n

No responder nunca, porque dudo que estas personas tengan buzones de correo llenos o antiguos en esta Universidad, porque no se trata de un webmail internacional, sino de una red privada en la que se privilegian los servicios de los usuarios de la universidad y no de cualquier persona que llegue y quiera utilizar sus servicios de correo, etc.<\/p>\n

De tomarse en consideraci\u00f3n pensar que a nivel internacional con el fin de personalizar los servicios web se solicita un usuario y contrase\u00f1a, para lo que generalmente se usa una direcci\u00f3n de correo para de esta forma logar un intercambio con el usuario potencial. Es as\u00ed como se pudo obtener esta direcci\u00f3n.<\/p>\n

Es por ello que hicimos la recomendaci\u00f3n hace un tiempo para que las cuentas institucionales no se utilicen en la navegaci\u00f3n o el envi\u00f3 de correos que no posean esa condici\u00f3n, ya que se genera el riesgo de que pueden ser capturadas y convertidas en blanco de ataques porque existen programas que son capaces de leer su PC y obtener la IP, el sistema operativo, el navegador y su versi\u00f3n y si encuentran una fisura de seguridad obtener informaci\u00f3n de la PC.<\/p>\n

Con posterioridad comenz\u00f3 a arribar este correo que tiene m\u00e1s o menos las mismas caracter\u00edsticas:<\/p>\n

De: <\/em><\/strong>\u00abWebmaster\u00bb <reclutamiento@orf.com.co>
\nPara: <\/strong>reclutamiento@orf.com.co
\nEnviados: <\/strong>Martes, 7 de Marzo 2017 3:34:35
\nAsunto: <\/strong>Cuenta deshabilitada!<\/em><\/p>\n

Estimado usuario de correo electr\u00f3nico, <\/em><\/p>\n

El uso de la cuenta de correo electr\u00f3nico es superior a 10 MB, <\/em>Haga clic aqu\u00ed <\/em><\/strong><\/a>Para actualizar la cuenta de correo electr\u00f3nico tambi\u00e9n,
\nactualizar la versi\u00f3n de Zimbra para evitar que su cuenta deshabilitada correo electr\u00f3nico.
\nSi no actualiza su cuenta de correo electr\u00f3nico, su cuenta de correo electr\u00f3nico quedar\u00e1 inactiva. <\/em><\/p>\n

Webmaster <\/em><\/p>\n

Este es un correo cl\u00e1sico que entra para \u201cPESCAR\u201d contrase\u00f1as de manera f\u00e1cil. Como medida estas direcciones son denegadas por directivas de seguridad desde los servidores de la Universidad. Es necesario recordar, una vez m\u00e1s, \u00a0que NUNCA se utiliza este proceder con los usuarios para actualizaciones de cuentas y que deben estar atentos a las direcciones del remitente de los mensajes, en este caso: reclutamiento@orf.com.co.<\/p>\n

Es recomendable que se observe que el enlace Haga clic aqu\u00ed <\/em><\/strong><\/a>env\u00eda a quienes los \u201cpinchen\u201d a\u00a0 la direcci\u00f3n http:\/\/www.empastiskstrategi.se\/wp-content\/upgrade\/zimbraupgradecl\/ que como se aprecia no tiene nada que ver con la universidad.<\/p>\n

El proceder a utilizar ser\u00e1 siempre el que se utiliz\u00f3 cuando fue necesario hacer un cambio de contrase\u00f1as.<\/p>\n

Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

En los \u00faltimos d\u00edas se han recibido en buzones de la UO correos para \u201cpescar\u201d contrase\u00f1as desde una supuesta cuenta en la Universidad of St. Gallen. Suiza. (HSG). Im\u00e1genes Relacionadas:<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[8,10,15,18,24,28,29],"tags":[],"class_list":["post-170","post","type-post","status-publish","format-standard","hentry","category-contrasenas","category-correo-spam","category-informaciones","category-password","category-prevencion","category-seguridad-informatica","category-suplantacion-de-identidad"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/170","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=170"}],"version-history":[{"count":3,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/170\/revisions"}],"predecessor-version":[{"id":704,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/170\/revisions\/704"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=170"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=170"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=170"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}