Nuevo caso de phishing genérico desde Ecuador

En esta oportunidad ha sido vulnerada una cuenta de la Presidencia de la República de Ecuador. Se trata de la cuenta bravom@presidencia.gob.ec y que solicita la información en un correo con el siguiente texto:

Estimado usuario,Su dirección de correo ha excedido 2GB, establecido en nuestro Servidor de correo . Está ejecutando actualmente más de 2.30GB, y ha dado lugar a la espera de nuevos mensajes entrantes.

Por favor, complete por favor el formulario de abajo para verificar y volver a validar su cuenta para que pueda recibir y enviar e -mail con eficacia.

( 1 ) E – mail:

( 2 ) Nombre de usuario:

( 3 ) Contraseña :

( 4 ) Confirmar contraseña:

Gracias
administrador del sistema

Y de momento la dirección destino es webmaster_dgoh@dgoh.org, misma que sugerimos bloquear a la vez que prevenimos a nuestros usuarios.

A continuación presentamos un mensaje fuente completo (anonimizando a la víctima):

 

Return-Path:<bravom@presidencia.gob.ec>
Received: from <protegido>.gob.pe ([unix socket])
     by mail.<protegido>.gob.pe (Cyrus v2.2.12-Invoca-RPM-2.2.12-17.el4) with LMTPA;
     Sun, 07 Jul 2013 18:53:54 -0500
X-Sieve: CMU Sieve 2.2
Received: from mailrelay.<protegido>.gob.pe ([<IP-protegido>]:59546 helo=<protegido>.gob.pe)
    by <protegido>.gob.pe with esmtp (Exim 4.43)
    id 1UvymA-0001t9-47; Sun, 07 Jul 2013 18:53:54 -0500
Received: from webmail.presidencia.gob.ec ([190.11.14.30]:35905 helo=srvzimbramta.presidencia.int)
    by <protegido>.gob.pe with esmtp (Exim 4.63)
    (envelope-from<bravom@presidencia.gob.ec>)
    id 1Uvylx-0005aE-N5; Sun, 07 Jul 2013 18:53:48 -0500
Received: from srvzimbramta.presidencia.int (unknown [10.4.1.75])
    by postfix.imsva (Postfix) with ESMTP id 1BFD7601DB3;
    Sun,  7 Jul 2013 18:42:12 -0500 (ECT)
Received: from srvzimbramta.presidencia.int (localhost [127.0.0.1])
    by srvzimbramta.presidencia.int (Postfix) with ESMTP id 3A024601D09;
    Sun,  7 Jul 2013 18:42:10 -0500 (ECT)
Received: from srvzimbramailbox.presidencia.int (srvzimbramailbox.presidencia.int [10.4.1.73])
    by srvzimbramta.presidencia.int (Postfix) with ESMTP id 2E137601C84;
    Sun,  7 Jul 2013 18:42:08 -0500 (ECT)
From: Admin<Mariana.Bravo@presidencia.gob.ec>
Reply-To: Admin<webmaster_dgoh@dgoh.org>
Message-ID:<1544405605.5483580.1373240598998.JavaMail.root@presidencia.gob.ec>
In-Reply-To:<699985779.5483497.1373240497609.JavaMail.root@presidencia.gob.ec>
Subject: administrador del sistema
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary=”—-=_Part_5483579_1760167290.1373240598995″
X-Mailer: Zimbra 8.0.2_GA_5569 (ZimbraWebClient – FF12 (Win)/8.0.2_GA_5569)
Thread-Topic: administrador del sistema
Thread-Index: Xdkjlw2izqEDfXTGK4ARj6sdWk8pSg==
X-TM-AS-MML: No
X-TM-AS-Product-Ver: IMSVA-8.2.0.1679-7.0.0.1014-20000.003
X-TM-AS-Result: No–9.515-7.0-31-10
X-imss-scan-details: No–9.515-7.0-31-10
X-TMASE-Version: IMSVA-8.2.0.1679-7.0.1014-20000.003
X-TMASE-Result: 10–9.515000-5.000000
X-TMASE-MatchedRID: 1km7C2Mmi0fqqS0pPvKOGCZcVWESUgVrbfQPcP7YUw1vtM4adLQ15s12
    J/xQnGUJQuQ9YfqeWJF/W9e6y906ssO300r4mUKBIyvp1AQXH8ve0BI2iNDVIK8sUQNbxwI8TZP
    FSMLt1+oq5Lg8PX1xJlyVA9G/PQk5Qm0CRa3IZy7bM1n5u+zT6/wGVtfL479aOoj9DXM40dIGk2
    pTPAu+9wv+uf1yM6WBO7twZ7mVKJ+7DPeTmTZDIEfpwjIa+JeQHAwy0XhreD35lA8aRaIEF3vJe
    SUXJ1gx4E9s12Gvf53SFZyaJmMIRhMQLQ/0+9hGsjvNV98mpPOHR4IzwrdHZB2aTxf1sBQi72NF
    H2FMyc9VmKGtLzfMDcxHRC4oHU4DK+qEK8MQkWGtT84hzzLxl1VYC40O+gNHre2gxH9xHdk=
X-Spam-Score: -1.7 (-)
X-Spam-Report: Spam detection software, running on the system “mailrelay2.<protegido>.gob.pe”, has
    identified this incoming email as possible spam.  The original message
    has been attached to this so you can view it (if it isn’t spam) or label
    similar future email.  If you have any questions, see
    the administrator of that system for details.
    Content preview:  Estimado usuario, Su direcciXXn de correo ha excedido 2GB,
    establecido en nuestro Servidor de correo . EstXX ejecutando actualmente
    mXXs de 2.30GB , y ha dado lugar a la espera de nuevos mensajes entrantes.
    […]
    Content analysis details:   (-1.7 points, 5.0 required)
    pts rule name              description
    —- ———————- ————————————————–
    1.3 MISSING_HEADERS        Missing To: header
    -4.0 RCVD_IN_DNSWL_MED      RBL: Sender listed at http://www.dnswl.org/, medium
    trust
    [190.11.14.30 listed in list.dnswl.org]
    1.0 BAYES_60               BODY: Bayesian spam probability is 60 to 80%
    [score: 0.7243]
    0.0 HTML_MESSAGE           BODY: HTML included in message
X-<protegido>-MailScanner-Information: Please contact the ISP for more information
X-<protegido>-MailScanner-ID: 1Uvylx-0005aE-N5
X-<protegido>-MailScanner: Found to be clean
X-<protegido>-MailScanner-SpamCheck: not spam, SpamAssassin (not cached,
    score=-1.707, required 2.5, autolearn=disabled, BAYES_60 1.00,
    HTML_MESSAGE 0.00, MISSING_HEADERS 1.29, RCVD_IN_DNSWL_MED -4.00)
X-<protegido>-MailScanner-From: bravom@presidencia.gob.ec
X-Spam-Status: No
Date: Sun, 07 Jul 2013 18:53:54 -0500
X-EsetId: 1784C53C4D1E233446C09B

——=_Part_5483579_1760167290.1373240598995
Content-Type: text/plain;
    charset=”utf-8″
Content-Transfer-Encoding: quoted-printable

Estimado usuario,
Su direcci=C3=B3n de correo ha excedido 2GB, establecido en nuestro
Servidor de correo . Est=C3=A1 ejecutando actualmente m=C3=A1s de 2.30GB =
, y ha dado lugar a la espera de nuevos mensajes entrantes.

Por favor, complete por favor el formulario de abajo para verificar y vol=
ver a validar su cuenta para que pueda recibir y enviar e -mail con efica=
cia.

( 1 ) E – mail:
( 2 ) Nombre de usuario:
( 3 ) Contrase=C3=B1a :
( 4 ) Confirmar contrase=C3=B1a:

Gracias
administrador del sistema

Nota de Descargo: La informaci=C3=B3n contenida en este mensaje y sus ane=
xos tiene car=C3=A1cter confidencial, y est=C3=A1 dirigida =C3=BAnicament=
e al destinatario de la misma y s=C3=B3lo podr=C3=A1 ser usada por =C3=A9=
ste. Si el lector de este mensaje no es el destinatario del mismo, se le =
notifica que cualquier copia o distribuci=C3=B3n de =C3=A9ste se encuentr=
a totalmente prohibida. Si usted ha recibido este mensaje por error, por =
favor notifique inmediatamente al remitente por este mismo medio y borre =
el mensaje de su sistema. Las opiniones que contenga este mensaje son exc=
lusivas de su autor y no necesariamente representan la opini=C3=B3n ofici=
al de la PRESIDENCIA DE LA REPUBLICA DEL ECUADOR.

——=_Part_5483579_1760167290.1373240598995
Content-Type: text/html;
    charset=”utf-8″
Content-Transfer-Encoding: quoted-printable

<html><body><div style=3D”font-family: times new roman, new york, times, =
serif; font-size: 12pt; color: #000000″><div><br></div><div><br></div><di=
v><span name=3D”x”></span><div><span id=3D”result_box” lang=3D”es”><span =
class=3D”hps”>Estimado usuario,</span><br><span”hps”>Su direcci=
=C3=B3n de correo</span>  <span”hps”>ha excedido</span>  <span cla=
ss=3D”hps”>2GB,</span>  <span”hps”>establecido en nuestro</span><=
br><span”hps”>Servidor de correo</span><span>.</span>  <span clas=
s=3D”hps”>Est=C3=A1 ejecutando</span>  <span”hps”>actualmente m=
=C3=A1s de</span>  <span”hps”>2.30GB</span><span>,</span>  <span c=
lass=3D”hps”>y ha</span>  <span”hps”>dado lugar</span>  <span clas=
s=3D”hps”>a la</span>  <span”hps”>espera</span>  <span”hp=
s”>de</span>  <span”hps”>nuevos mensajes</span>  <span”hp=
s”>entrantes.</span><br><div><br></div><span”hps”>Por favor, com=
plete</span>  <span”hps”>por favor el</span>  <span”hps”>=
formulario de abajo</span>  <span”hps”>para verificar</span>  <spa=
n”hps”>y volver a</span>  <span”hps”>validar su cuenta</=
span>  <span”hps”>para que pueda</span>  <span”hps”>recib=
ir y enviar</span>  <span”hps”>e</span><span>-mail</span>  <span c=
lass=3D”hps”>con eficacia.</span><br><div><br></div><span”hps at=
n”>(</span><span>1</span><span>)</span>  <span”hps”>E</span><span=
 class=3D”atn”>-</span><span>mail:</span><br><span”hps atn”>(</s=
pan><span>2</span><span>)</span>  <span”hps”>Nombre de usuario:</=
span><br><span”hps atn”>(</span><span>3</span><span>) Contrase=
=C3=B1a</span><span>:</span><br><span”hps atn”>(</span><span>4</=
span><span>)</span>  <span”hps”>Confirmar contrase=C3=B1a:</span>=

<br><div><br></div><span”hps”>Gracias</span><br><span”h=
ps”>administrador del sistema</span></span></div><span name=3D”x”></span>=
<br></div></div></body></html>

<table><tr><td bgcolor=3D#ffffff><font color=3D#000000><pre>Nota de Desca=
rgo: La informaci=C3=B3n contenida en este mensaje y sus anexos tiene car=
=C3=A1cter confidencial, y est=C3=A1 dirigida =C3=BAnicamente al destinat=
ario de la misma y s=C3=B3lo podr=C3=A1 ser usada por =C3=A9ste. Si el le=
ctor de este mensaje no es el destinatario del mismo, se le notifica que =
cualquier copia o distribuci=C3=B3n de =C3=A9ste se encuentra totalmente =
prohibida. Si usted ha recibido este mensaje por error, por favor notifiq=
ue inmediatamente al remitente por este mismo medio y borre el mensaje de=
 su sistema. Las opiniones que contenga este mensaje son exclusivas de su=
 autor y no necesariamente representan la opini=C3=B3n oficial de la PRES=
IDENCIA DE LA REPUBLICA DEL ECUADOR.</pre></font></td></tr></table>

——=_Part_5483579_1760167290.1373240598995–

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s