La gente de segu-info, esta alertando en su pagina sobre correos falsos que imitan un aviso sobre multas pendientes e incluyen supuestos enlaces a las foto-multas. El mensaje de correo (errores incluidos) es el siguiente:
Date: Mon, 10 Oct 2011 01:28:21 -0400Subject: Usted posee multas pendientes
From: infracciones@multas.gov.ar (dirección falsa)
Fecha de emision: 10/10/2011 Buenos Aires, Republica Argentina
Estimado contribuyente:
Detectamos en nuestro Sistema Integrado de Multas de transito (SIMT) varias infracciones cometidas por su vehiculo.
Debido a que usted no se notifico en el tribunal de faltas correspondiente le reenviamos las Foto-multas via internet.
Si usted no regulariza las infracciones correspondientes en los proximos 90 dias a partir de la fecha de emision de este comunicado, su vehiculo sera informado como deudor
y pasara a formar parte del Veraz, conforme Ley n 12.799 de 1/04/2009.
La inclusion de su vehiculo en el Veraz le impedira la venta regular de su vehiculo por 2 años en la Republica Argentina.
Adjuntamos en este informe las infracciones realizadas: FOTO 1 - FOTO 2 - FOTO 3
(Articulo 157, 7º de Afip y articulo 2º y 7º de Resolucion nº 149/03 - ARBA) El propietario del vehiculo queda notificado por este medio.
Todas aquellas actas labradas con anterioridad a las fechas especificadas seguirán bajo la orbita de la Unidad Administrativa de Control de Faltas.
Los enlaces a las (inexistentes) fotografías, son en realidad enlaces que abusan de fallas de redireccionamiento de dos sitios web y redirigen a la víctima a la descarga del archivo malicioso Video_Player_FLash_Avi.exe alojado en otros sitios vulnerados y con antecedentes de alojar malware.
Con esta maniobra los delincuentes intentan y logran superar filtros de correo que evalúan la reputación de los vínculos. Al evaluar solo la primer parte del vínculo y no el resto del enlace, no "ven" nada objetable y los mensajes pasan sin problemas en la mayoría de los sistemas.
Si se analiza la cabecera de los correos se puede ver el origen de los mismos:
Return-Path: anonymous@ns28089.ov[ELIMINADO].net
From anonymous@ns28089.ov[ELIMINADO].net Mon Oct 10 08:47:43 2011
Allí queda claro que los correos proviene de un sitio vulnerado .NET que nada tiene que ver con el gobierno argentino.
Algo sencillo que puede hacer el receptor de tales mensajes es posar el puntero del mouse sobre los hipervínculos, y así verá que los enlaces no tienen relación con ningún sitio de gobierno.
Con esta maniobra los delincuentes intentan y logran superar filtros de correo que evalúan la reputación de los vínculos. Al evaluar solo la primer parte del vínculo y no el resto del enlace, no "ven" nada objetable y los mensajes pasan sin problemas en la mayoría de los sistemas.
Si se analiza la cabecera de los correos se puede ver el origen de los mismos:
Return-Path: anonymous@ns28089.ov[ELIMINADO].net
From anonymous@ns28089.ov[ELIMINADO].net Mon Oct 10 08:47:43 2011
Allí queda claro que los correos proviene de un sitio vulnerado .NET que nada tiene que ver con el gobierno argentino.
Algo sencillo que puede hacer el receptor de tales mensajes es posar el puntero del mouse sobre los hipervínculos, y así verá que los enlaces no tienen relación con ningún sitio de gobierno.
Las Foto 1 y 3 conducen a:
http://gsf.[ELIMINADO].it/content/page.html?id_gsf=592737&link=http://www.mueller[ELIMINADO].com/files/Video_Player_FLash_Avi.exe
La Foto 2 conduce a:
http://blog.[ELIMINADO].com/click/?adid=1250&adurl=http://www.tellu[ELIMINADO].com/refrac_v1/Video_Player_FLash_Avi.exe
Uno de los sitios con vulnerabilidades pertenece a un importante grupo editorial europeo. Al momento ya ha sido desactivada la descarga de uno de los sitios. Los antivirus que lo detectan hasta el momento no son demasiados, lo cual es normal por la reciente aparición del archivo dañino.
Este caso me hace acordar al de las multas brasileñas que circulaban a comienzo de este año, en las cuales nos notificaban por supuestas infracciones de tránsito cometidas en ese pais cuando la persona estuvo supuestamente de vacaciones y que descargaban troyanos para robar datos bancarios.
Hay que recordar ser precavido y dudar de mensajes que nos crean la urgencia por saber de que se trata, es un claro síntoma de los ataques que usan la "ingeniería social".
http://gsf.[ELIMINADO].it/content/page.html?id_gsf=592737&link=http://www.mueller[ELIMINADO].com/files/Video_Player_FLash_Avi.exe
La Foto 2 conduce a:
http://blog.[ELIMINADO].com/click/?adid=1250&adurl=http://www.tellu[ELIMINADO].com/refrac_v1/Video_Player_FLash_Avi.exe
Uno de los sitios con vulnerabilidades pertenece a un importante grupo editorial europeo. Al momento ya ha sido desactivada la descarga de uno de los sitios. Los antivirus que lo detectan hasta el momento no son demasiados, lo cual es normal por la reciente aparición del archivo dañino.
Este caso me hace acordar al de las multas brasileñas que circulaban a comienzo de este año, en las cuales nos notificaban por supuestas infracciones de tránsito cometidas en ese pais cuando la persona estuvo supuestamente de vacaciones y que descargaban troyanos para robar datos bancarios.
Hay que recordar ser precavido y dudar de mensajes que nos crean la urgencia por saber de que se trata, es un claro síntoma de los ataques que usan la "ingeniería social".
No hay comentarios:
Publicar un comentario