Campaña de phishing genérica desde Honduras

Una asídua colaboradora de este blog nos reporta que está llegando a nuestro entorno una campaña de phishing genérico desde Honduras.

Al parecer se trata de una cuenta de correo real que ha sido comprometida

 

 

Received: by [ofuscado] with SMTP id [ofuscado];
Wed, 3 Jul 2013 03:38:37 -0700 (PDT)
X-Received: by [ofuscado] with SMTP id [ofuscado];

Wed, 03 Jul 2013 03:38:36 -0700 (PDT)
Return-Path: <epavon@seplan.gob.hn>
Received: from sepsrvzcs001.seplan.gob.hn (sepsrvzcs001.seplan.gob.hn. [190.92.49.51]) by [ofuscado] with ESMTP id [ofuscado]
for <multiple recipients>; Wed, 03 Jul 2013 03:38:36 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of epavon@seplan.gob.hn designates 190.92.49.51 as permitted sender)
client-ip=190.92.49.51;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of epavon@seplan.gob.hn designates 190.92.49.51 as permitted sender) smtp.mail=epavon@seplan.gob.hn
Received: from localhost (localhost.localdomain [127.0.0.1]) by sepsrvzcs001.seplan.gob.hn (Postfix) with ESMTP id E6E7771700DB; Wed, 3 Jul 2013 04:29:05 -0600 (CST)
X-Virus-Scanned: amavisd-new at seplan.gob.hn Received: from sepsrvzcs001.seplan.gob.hn ([127.0.0.1]) by localhost (sepsrvzcs001.seplan.gob.hn [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id ky1Ae6PTN5sL; Wed, 3 Jul 2013 04:29:05 -0600 (CST)
Received: from sepsrvzcs001.seplan.gob.hn (localhost.localdomain [127.0.0.1]) by sepsrvzcs001.seplan.gob.hn (Postfix) with ESMTP id 8B7EF71700A0; Wed, 3 Jul 2013 04:28:58 -0600 (CST)
Date: Wed, 3 Jul 2013 04:28:58 -0600 (CST)
From: WEBMAIL <epavon@seplan.gob.hn>
Reply-To: WEBMAIL <boxxkingz@hotmail.com>
Message-ID: <2008165844.1400016.1372847338496.JavaMail.root@SEPSRVZCS001>
Subject: =?utf-8?Q?INTENTO_RECHAZADO!=E2=80=8F=E2=80=8F?= MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable X-Originating-IP: [41.220.68.26]
X-Mailer: Zimbra 7.1.4_GA_2555 (zclient/7.1.4_GA_2555)
To: undisclosed-recipients:;
X-Gm-Spam: 0
Estimado usuario
Su contrase=C3=B1a caducar=C3=A1 en 3 d=C3=ADas formulario llenar y enviar = de inmediato para validar su direcci=C3=B3n de e-mail.
Nombre de Usuario: ……………..
Contrase=C3=B1a anterior: ……………..
Nueva Contrase=C3=B1a: …………….
gracias
administrador del sistema

Hemos comprobado que el IP de donde llegan estos mensajes son, efectivamente, ubicados en Honduras, el servidor de correo es legítimo y el registro MX del DNS también lo es.

;; ANSWER SECTION:
seplan.gob.hn.        14400    IN    MX    10 sepsrvzcs001.seplan.gob.hn.

Sin embargo el campo “Reply-To:” de la cabecera ocasionará que la respuesta de la víctima sea enviada a boxxkingz@hotmail.com, por lo que sugerimos bloquear la salida de mensajes hacia esta dirección.

Como siempre les manifestamos, estamos a la espera de sus reportes de este tipo de eventos, que podrán mantenerse anónimos si el remitente así lo desea.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s