Phishing contra clientes del Banco Continental en Honduras

Nos han reportado que está circulando un correo electrónico de phishing contra clientes del Banco Continental de Honduras pero por existir un banco local con nombre similar, creemos conveniente informarles.

El correo contiene el siguiente mensaje:

Asunto: Confirmación de Usuario activos
Fecha:     Tue, 13 Aug 2013 16:30:21 -0500
De:     Banco Continental S. A. <noreply@badoo.com>
Responder a:     noreply@badoo.com
Para:     <PROTEGIDO>@<PROTEGIDO>.pe

Estimado(a): CLIENTE DEL BANCO CONTINENTAL

Banco continental le informa que estamos confirmando los datos
personales de los clientes de banca por internet para saver si son
usuario activos o inactivos.

Asi mismo le recordamos que este correo no es para verificar los datos
es solo para verificar la actividad de su usuario, ya que no lo hacemos
por que no es politica nuestra

Recuerde que es su responsabilidad el cuidado de la información de
acceso a la Banca Virtual. Por ningún motivo la comparta con terceros y
si sospecha que alguien más tiene conocimiento de ésta proceda al cambio
inmediato.

Saludos Cordiales,

Banco Continental

INGRESE HACIENDO CLIC EN EL LINCK DEL BANCO

El supuesto enlace del banco realmente apunta a un servidor en Rusia, cuya pantalla mostramos.Image
Recomendamos advertir a sus usuarios para evitar ser víctimas.

Nuevo caso de phishing genérico desde Ecuador

En esta oportunidad ha sido vulnerada una cuenta de la Presidencia de la República de Ecuador. Se trata de la cuenta bravom@presidencia.gob.ec y que solicita la información en un correo con el siguiente texto:

Estimado usuario,Su dirección de correo ha excedido 2GB, establecido en nuestro Servidor de correo . Está ejecutando actualmente más de 2.30GB, y ha dado lugar a la espera de nuevos mensajes entrantes.

Por favor, complete por favor el formulario de abajo para verificar y volver a validar su cuenta para que pueda recibir y enviar e -mail con eficacia.

( 1 ) E – mail:

( 2 ) Nombre de usuario:

( 3 ) Contraseña :

( 4 ) Confirmar contraseña:

Gracias
administrador del sistema

Y de momento la dirección destino es webmaster_dgoh@dgoh.org, misma que sugerimos bloquear a la vez que prevenimos a nuestros usuarios.

A continuación presentamos un mensaje fuente completo (anonimizando a la víctima):

 

Return-Path:<bravom@presidencia.gob.ec>
Received: from <protegido>.gob.pe ([unix socket])
     by mail.<protegido>.gob.pe (Cyrus v2.2.12-Invoca-RPM-2.2.12-17.el4) with LMTPA;
     Sun, 07 Jul 2013 18:53:54 -0500
X-Sieve: CMU Sieve 2.2
Received: from mailrelay.<protegido>.gob.pe ([<IP-protegido>]:59546 helo=<protegido>.gob.pe)
    by <protegido>.gob.pe with esmtp (Exim 4.43)
    id 1UvymA-0001t9-47; Sun, 07 Jul 2013 18:53:54 -0500
Received: from webmail.presidencia.gob.ec ([190.11.14.30]:35905 helo=srvzimbramta.presidencia.int)
    by <protegido>.gob.pe with esmtp (Exim 4.63)
    (envelope-from<bravom@presidencia.gob.ec>)
    id 1Uvylx-0005aE-N5; Sun, 07 Jul 2013 18:53:48 -0500
Received: from srvzimbramta.presidencia.int (unknown [10.4.1.75])
    by postfix.imsva (Postfix) with ESMTP id 1BFD7601DB3;
    Sun,  7 Jul 2013 18:42:12 -0500 (ECT)
Received: from srvzimbramta.presidencia.int (localhost [127.0.0.1])
    by srvzimbramta.presidencia.int (Postfix) with ESMTP id 3A024601D09;
    Sun,  7 Jul 2013 18:42:10 -0500 (ECT)
Received: from srvzimbramailbox.presidencia.int (srvzimbramailbox.presidencia.int [10.4.1.73])
    by srvzimbramta.presidencia.int (Postfix) with ESMTP id 2E137601C84;
    Sun,  7 Jul 2013 18:42:08 -0500 (ECT)
From: Admin<Mariana.Bravo@presidencia.gob.ec>
Reply-To: Admin<webmaster_dgoh@dgoh.org>
Message-ID:<1544405605.5483580.1373240598998.JavaMail.root@presidencia.gob.ec>
In-Reply-To:<699985779.5483497.1373240497609.JavaMail.root@presidencia.gob.ec>
Subject: administrador del sistema
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary=”—-=_Part_5483579_1760167290.1373240598995″
X-Mailer: Zimbra 8.0.2_GA_5569 (ZimbraWebClient – FF12 (Win)/8.0.2_GA_5569)
Thread-Topic: administrador del sistema
Thread-Index: Xdkjlw2izqEDfXTGK4ARj6sdWk8pSg==
X-TM-AS-MML: No
X-TM-AS-Product-Ver: IMSVA-8.2.0.1679-7.0.0.1014-20000.003
X-TM-AS-Result: No–9.515-7.0-31-10
X-imss-scan-details: No–9.515-7.0-31-10
X-TMASE-Version: IMSVA-8.2.0.1679-7.0.1014-20000.003
X-TMASE-Result: 10–9.515000-5.000000
X-TMASE-MatchedRID: 1km7C2Mmi0fqqS0pPvKOGCZcVWESUgVrbfQPcP7YUw1vtM4adLQ15s12
    J/xQnGUJQuQ9YfqeWJF/W9e6y906ssO300r4mUKBIyvp1AQXH8ve0BI2iNDVIK8sUQNbxwI8TZP
    FSMLt1+oq5Lg8PX1xJlyVA9G/PQk5Qm0CRa3IZy7bM1n5u+zT6/wGVtfL479aOoj9DXM40dIGk2
    pTPAu+9wv+uf1yM6WBO7twZ7mVKJ+7DPeTmTZDIEfpwjIa+JeQHAwy0XhreD35lA8aRaIEF3vJe
    SUXJ1gx4E9s12Gvf53SFZyaJmMIRhMQLQ/0+9hGsjvNV98mpPOHR4IzwrdHZB2aTxf1sBQi72NF
    H2FMyc9VmKGtLzfMDcxHRC4oHU4DK+qEK8MQkWGtT84hzzLxl1VYC40O+gNHre2gxH9xHdk=
X-Spam-Score: -1.7 (-)
X-Spam-Report: Spam detection software, running on the system “mailrelay2.<protegido>.gob.pe”, has
    identified this incoming email as possible spam.  The original message
    has been attached to this so you can view it (if it isn’t spam) or label
    similar future email.  If you have any questions, see
    the administrator of that system for details.
    Content preview:  Estimado usuario, Su direcciXXn de correo ha excedido 2GB,
    establecido en nuestro Servidor de correo . EstXX ejecutando actualmente
    mXXs de 2.30GB , y ha dado lugar a la espera de nuevos mensajes entrantes.
    […]
    Content analysis details:   (-1.7 points, 5.0 required)
    pts rule name              description
    —- ———————- ————————————————–
    1.3 MISSING_HEADERS        Missing To: header
    -4.0 RCVD_IN_DNSWL_MED      RBL: Sender listed at http://www.dnswl.org/, medium
    trust
    [190.11.14.30 listed in list.dnswl.org]
    1.0 BAYES_60               BODY: Bayesian spam probability is 60 to 80%
    [score: 0.7243]
    0.0 HTML_MESSAGE           BODY: HTML included in message
X-<protegido>-MailScanner-Information: Please contact the ISP for more information
X-<protegido>-MailScanner-ID: 1Uvylx-0005aE-N5
X-<protegido>-MailScanner: Found to be clean
X-<protegido>-MailScanner-SpamCheck: not spam, SpamAssassin (not cached,
    score=-1.707, required 2.5, autolearn=disabled, BAYES_60 1.00,
    HTML_MESSAGE 0.00, MISSING_HEADERS 1.29, RCVD_IN_DNSWL_MED -4.00)
X-<protegido>-MailScanner-From: bravom@presidencia.gob.ec
X-Spam-Status: No
Date: Sun, 07 Jul 2013 18:53:54 -0500
X-EsetId: 1784C53C4D1E233446C09B

——=_Part_5483579_1760167290.1373240598995
Content-Type: text/plain;
    charset=”utf-8″
Content-Transfer-Encoding: quoted-printable

Estimado usuario,
Su direcci=C3=B3n de correo ha excedido 2GB, establecido en nuestro
Servidor de correo . Est=C3=A1 ejecutando actualmente m=C3=A1s de 2.30GB =
, y ha dado lugar a la espera de nuevos mensajes entrantes.

Por favor, complete por favor el formulario de abajo para verificar y vol=
ver a validar su cuenta para que pueda recibir y enviar e -mail con efica=
cia.

( 1 ) E – mail:
( 2 ) Nombre de usuario:
( 3 ) Contrase=C3=B1a :
( 4 ) Confirmar contrase=C3=B1a:

Gracias
administrador del sistema

Nota de Descargo: La informaci=C3=B3n contenida en este mensaje y sus ane=
xos tiene car=C3=A1cter confidencial, y est=C3=A1 dirigida =C3=BAnicament=
e al destinatario de la misma y s=C3=B3lo podr=C3=A1 ser usada por =C3=A9=
ste. Si el lector de este mensaje no es el destinatario del mismo, se le =
notifica que cualquier copia o distribuci=C3=B3n de =C3=A9ste se encuentr=
a totalmente prohibida. Si usted ha recibido este mensaje por error, por =
favor notifique inmediatamente al remitente por este mismo medio y borre =
el mensaje de su sistema. Las opiniones que contenga este mensaje son exc=
lusivas de su autor y no necesariamente representan la opini=C3=B3n ofici=
al de la PRESIDENCIA DE LA REPUBLICA DEL ECUADOR.

——=_Part_5483579_1760167290.1373240598995
Content-Type: text/html;
    charset=”utf-8″
Content-Transfer-Encoding: quoted-printable

<html><body><div style=3D”font-family: times new roman, new york, times, =
serif; font-size: 12pt; color: #000000″><div><br></div><div><br></div><di=
v><span name=3D”x”></span><div><span id=3D”result_box” lang=3D”es”><span =
class=3D”hps”>Estimado usuario,</span><br><span”hps”>Su direcci=
=C3=B3n de correo</span>  <span”hps”>ha excedido</span>  <span cla=
ss=3D”hps”>2GB,</span>  <span”hps”>establecido en nuestro</span><=
br><span”hps”>Servidor de correo</span><span>.</span>  <span clas=
s=3D”hps”>Est=C3=A1 ejecutando</span>  <span”hps”>actualmente m=
=C3=A1s de</span>  <span”hps”>2.30GB</span><span>,</span>  <span c=
lass=3D”hps”>y ha</span>  <span”hps”>dado lugar</span>  <span clas=
s=3D”hps”>a la</span>  <span”hps”>espera</span>  <span”hp=
s”>de</span>  <span”hps”>nuevos mensajes</span>  <span”hp=
s”>entrantes.</span><br><div><br></div><span”hps”>Por favor, com=
plete</span>  <span”hps”>por favor el</span>  <span”hps”>=
formulario de abajo</span>  <span”hps”>para verificar</span>  <spa=
n”hps”>y volver a</span>  <span”hps”>validar su cuenta</=
span>  <span”hps”>para que pueda</span>  <span”hps”>recib=
ir y enviar</span>  <span”hps”>e</span><span>-mail</span>  <span c=
lass=3D”hps”>con eficacia.</span><br><div><br></div><span”hps at=
n”>(</span><span>1</span><span>)</span>  <span”hps”>E</span><span=
 class=3D”atn”>-</span><span>mail:</span><br><span”hps atn”>(</s=
pan><span>2</span><span>)</span>  <span”hps”>Nombre de usuario:</=
span><br><span”hps atn”>(</span><span>3</span><span>) Contrase=
=C3=B1a</span><span>:</span><br><span”hps atn”>(</span><span>4</=
span><span>)</span>  <span”hps”>Confirmar contrase=C3=B1a:</span>=

<br><div><br></div><span”hps”>Gracias</span><br><span”h=
ps”>administrador del sistema</span></span></div><span name=3D”x”></span>=
<br></div></div></body></html>

<table><tr><td bgcolor=3D#ffffff><font color=3D#000000><pre>Nota de Desca=
rgo: La informaci=C3=B3n contenida en este mensaje y sus anexos tiene car=
=C3=A1cter confidencial, y est=C3=A1 dirigida =C3=BAnicamente al destinat=
ario de la misma y s=C3=B3lo podr=C3=A1 ser usada por =C3=A9ste. Si el le=
ctor de este mensaje no es el destinatario del mismo, se le notifica que =
cualquier copia o distribuci=C3=B3n de =C3=A9ste se encuentra totalmente =
prohibida. Si usted ha recibido este mensaje por error, por favor notifiq=
ue inmediatamente al remitente por este mismo medio y borre el mensaje de=
 su sistema. Las opiniones que contenga este mensaje son exclusivas de su=
 autor y no necesariamente representan la opini=C3=B3n oficial de la PRES=
IDENCIA DE LA REPUBLICA DEL ECUADOR.</pre></font></td></tr></table>

——=_Part_5483579_1760167290.1373240598995–

Phishing contra usuarios de DHL

Nos han reportado que está recibiéndose en nuestro medio mensajes de phishing con el siguiente formato:

pishng_08.07.2013_dhl_mail

Los enlaces apuntan a un servidor mex.ie, de donde se intenta cargar el programa info.php:

pishng_08.07.2013_dhl_mexie_directorio

Tratamos de descargar el atefacto para analizarlo pero al parecer el administradir lícito del servidor ya lo eliminó. Recomendamos comunicar estos incidentes a sus usuarios o a su comunidad para que esté siempre prevenida.

 

Phishing genérico desde Ecuador y Nigeria

facebook-phishingHemos detectado un ataque phishing similar al perpetrado el día de ayer desde Honduras. Al parecer ambos incidentes son originados por cuentas vulneradas con contraseñas débiles. Aparece que el cliente Zimbra fue accedido desde un número IP cuyo rango está asignado a Nigeria.

En esta oportunidad el ataque llega desde un servidor lícito de correo (mail2.cne.gob.ec [190.152.71.85] ) y en particular de la cuenta juliotorres @ cne.gob.ec. El campo “Reply To” refiere a la misma cuenta de correo del ataque anterior: boxxkingz @ hotmail.com.

Sugerimos difundir entre sus usuarios y adicionalmente bloquear el envío de mensajes que tengan como destinatario esa dirección Hotmail.

A continuación les aduntamos la cabecera del phishing en mención:

Return-Path: <juliotorres@cne.gob.ec>
Received: from <protegido>.gob.pe ([unix socket])
by mail.<protegido>.gob.pe (Cyrus v2.2.12-Invoca-RPM-2.2.12-17.el4) with LMTPA;
Thu, 04 Jul 2013 09:32:43 -0500
X-Sieve: CMU Sieve 2.2
Received: from mailrelay.<protegido>.gob.pe ([<ip-protegido>]:49659 helo=<protegido>.gob.pe)
by <protegido>.gob.pe with esmtp (Exim 4.43)
id 1UukaR-0007hP-E4
for <protegido>@<protegido>.gob.pe; Thu, 04 Jul 2013 09:32:43 -0500
Received: from mail2.cne.gob.ec ([190.152.71.85]:53085)
by <protegido>.gob.pe with esmtp (Exim 4.63)
(envelope-from <juliotorres@cne.gob.ec>)
id 1UukaK-0001CQ-KU
for <protegido>@<protegido>.gob.pe; Thu, 04 Jul 2013 09:32:43 -0500
Received: from localhost (localhost [127.0.0.1])
by mail2.cne.gob.ec (Postfix) with ESMTP id AE36053FA0A4;
Thu,  4 Jul 2013 09:20:50 -0500 (ECT)
X-Virus-Scanned: amavisd-new at cne.gov.ec
Received: from mail2.cne.gob.ec ([127.0.0.1])
by localhost (mail2.cne.gob.ec [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id D6y-BAStzEvE; Thu,  4 Jul 2013 09:20:50 -0500 (ECT)
Received: from mail2.cne.gob.ec (unknown [192.168.1.12])
by mail2.cne.gob.ec (Postfix) with ESMTP id 9EAB353FA05F;
Thu,  4 Jul 2013 09:20:49 -0500 (ECT)
From: Webmail Quota <juliotorres@cne.gob.ec>
Reply-To: Webmail Quota <boxxkingz@hotmail.com>
Subject: INTENTO =?utf-8?B?UkVDSEFaQURPIeKAj+KAjw==?=
Message-ID: <42a5c733-ceb6-467b-b5a2-93cde6a29c7c@mail2.cne.gob.ec>
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
X-Originating-IP: [41.220.68.24]
X-Mailer: Zimbra 7.1.3_GA_3346 (zclient/7.1.3_GA_3346)
To: undisclosed-recipients:;
X-Spam-Score: 4.8 (++++)
X-Spam-Report: Spam detection software, running on the system “mailrelay2.<protegido>.gob.pe”, has
identified this incoming email as possible spam.  The original message
has been attached to this so you can view it (if it isn’t spam) or label
similar future email.  If you have any questions, see
the administrator of that system for details.
Content preview:  Estimado usuario Su contraseXXa caducarXX en 3 dXXas formulario
llenar y enviar de inmediato para validar su direcciXXn de e-mail. Nombre
de Usuario: ContraseXXa anterior: Nueva ContraseXXa: gracias administrador
del sistema […]
Content analysis details:   (4.8 points, 5.0 required)
pts rule name              description
—- ———————- ————————————————–
1.6 RCVD_IN_SBL            RBL: Received via a relay in Spamhaus SBL
[41.220.68.24 listed in zen.spamhaus.org]
2.1 SUBJ_ALL_CAPS          Subject is all capitals
-0.0 SPF_PASS               SPF: sender matches SPF record
1.0 BAYES_60               BODY: Bayesian spam probability is 60 to 80%
[score: 0.6032]
0.2 SARE_SUB_ENC_UTF8      Message uses character set often used in spam
X-<protegido>-MailScanner-Information: Please contact the ISP for more information
X-<protegido>-MailScanner-ID: 1UukaK-0001CQ-KU
X-<protegido>-MailScanner: Found to be clean
X-<protegido>-MailScanner-SpamCheck: spam, SpamAssassin (cached, score=4.779,
required 2.5, autolearn=disabled, BAYES_60 1.00, RCVD_IN_SBL 1.55,
SARE_SUB_ENC_UTF8 0.15, SPF_PASS -0.00, SUBJ_ALL_CAPS 2.08)
X-<protegido>-MailScanner-SpamScore: 4.78
X-<protegido>-MailScanner-From: juliotorres@cne.gob.ec
Date: Thu, 04 Jul 2013 09:32:43 -0500

Estimado usuario
Su contraseña caducará en 3 días formulario llenar y enviar de inmediato para validar su dirección de e-mail.
Nombre de Usuario: ……………..
Contraseña anterior: ……………..
Nueva Contraseña: …………….
gracias
administrador del sistema

Campaña de phishing contra usuarios del Poder Judicial en el Perú

Nos acaban de informar que está llegando una campaña de phishing, bastante elaborada, contra el público en general. Es un mensaje de correo como el siguiente

pishing_03.07.2013_pj_mailEn primera impresión el remitente es no-reply @ poderjudicial.pe sin embargo el origen real del mensaje es root @ vps.robienelmostro.com. Si la víctima hace click en la opción de descarga, será reenviado a  http://demanda.poderjudicial.pe.logisticaelectronica.pw/notificacion/denuncia/captura/amVubmlmZXJfYXlsbG9uQGhvdG1haWwuY29tDQo=
que corresponde a la IP 107.6.41.118, que es un segmento destinado a Canadá. De momento la página destino ya ha sido declarada como maliciosa por Mozilla:

pishing_03.07.2013_pj_paginaSi se elude la advertencia, el archivo descargado, al momento de publicar esta nota, es un archivo llamado “Denuncia”, tipo “bin” y con 0 bytes de longitud, sin embargo se recomienda difundir el incidente entre sus usuarios para evitar futuros ataques similares.

x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: [ofuscado]; spf=none (sender IP is 67.207.208.213) smtp.mailfrom=root@vps.robienelmostro.com; dkim=none header.d=poderjudicial.pe; x-hmca=none header.id=no-reply@poderjudicial.pe
X-SID-PRA: no-reply@poderjudicial.pe
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTndWmTzLXwc/ELgTCmNOZd6blJieK72/WzKhDEMZBg61kt/inAcNqS8hIpKEf24J65nEKuZldhqmkED9DjDkhNLnVF5avPPli2o15VV0rvet1A1KdwBiF6d5Nerz59doM0xSBjiS5GcYr1xcfeQ8mu+c61tGvnbGCs=
Received: from vps.robienelmostro.com ([67.207.208.213]) by [ofuscado] with Microsoft SMTPSVC(6.0.3790.4900);
Tue, 2 Jul 2013 16:11:28 -0700
Received: from vps.robienelmostro.com (localhost.localdomain [127.0.0.1])
by vps.robienelmostro.com (8.14.3/8.14.3/Debian-9.4) with ESMTP id r62MYlbw005197
for <[ofuscado]>; Tue, 2 Jul 2013 18:34:47 -0400
Received: (from root@localhost)
by vps.robienelmostro.com (8.14.3/8.14.3/Submit) id r62MYlHG005196;
Tue, 2 Jul 2013 18:34:47 -0400
Date: Tue, 2 Jul 2013 18:34:47 -0400
Message-Id: <201307022234.r62MYlHG005196@vps.robienelmostro.com>
content-type: text/html
Subject: =?utf-8?B?4pyJRGVudW5jaWE==?=
From: Poder Judicial <no-reply@poderjudicial.pe>
To: [ofuscado]
Return-Path: root@vps.robienelmostro.com
X-OriginalArrivalTime: 02 Jul 2013 23:11:28.0331 (UTC) FILETIME=[7B46D1B0:01CE7779]

Finalmente, hicimos una búsqueda y pudimos comprobar que el número IP del servidor está involucrado en otras actividades hostiles, según se muestra aquí

Campaña de phishing genérica desde Honduras

Una asídua colaboradora de este blog nos reporta que está llegando a nuestro entorno una campaña de phishing genérico desde Honduras.

Al parecer se trata de una cuenta de correo real que ha sido comprometida

 

 

Received: by [ofuscado] with SMTP id [ofuscado];
Wed, 3 Jul 2013 03:38:37 -0700 (PDT)
X-Received: by [ofuscado] with SMTP id [ofuscado];

Wed, 03 Jul 2013 03:38:36 -0700 (PDT)
Return-Path: <epavon@seplan.gob.hn>
Received: from sepsrvzcs001.seplan.gob.hn (sepsrvzcs001.seplan.gob.hn. [190.92.49.51]) by [ofuscado] with ESMTP id [ofuscado]
for <multiple recipients>; Wed, 03 Jul 2013 03:38:36 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of epavon@seplan.gob.hn designates 190.92.49.51 as permitted sender)
client-ip=190.92.49.51;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of epavon@seplan.gob.hn designates 190.92.49.51 as permitted sender) smtp.mail=epavon@seplan.gob.hn
Received: from localhost (localhost.localdomain [127.0.0.1]) by sepsrvzcs001.seplan.gob.hn (Postfix) with ESMTP id E6E7771700DB; Wed, 3 Jul 2013 04:29:05 -0600 (CST)
X-Virus-Scanned: amavisd-new at seplan.gob.hn Received: from sepsrvzcs001.seplan.gob.hn ([127.0.0.1]) by localhost (sepsrvzcs001.seplan.gob.hn [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id ky1Ae6PTN5sL; Wed, 3 Jul 2013 04:29:05 -0600 (CST)
Received: from sepsrvzcs001.seplan.gob.hn (localhost.localdomain [127.0.0.1]) by sepsrvzcs001.seplan.gob.hn (Postfix) with ESMTP id 8B7EF71700A0; Wed, 3 Jul 2013 04:28:58 -0600 (CST)
Date: Wed, 3 Jul 2013 04:28:58 -0600 (CST)
From: WEBMAIL <epavon@seplan.gob.hn>
Reply-To: WEBMAIL <boxxkingz@hotmail.com>
Message-ID: <2008165844.1400016.1372847338496.JavaMail.root@SEPSRVZCS001>
Subject: =?utf-8?Q?INTENTO_RECHAZADO!=E2=80=8F=E2=80=8F?= MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable X-Originating-IP: [41.220.68.26]
X-Mailer: Zimbra 7.1.4_GA_2555 (zclient/7.1.4_GA_2555)
To: undisclosed-recipients:;
X-Gm-Spam: 0
Estimado usuario
Su contrase=C3=B1a caducar=C3=A1 en 3 d=C3=ADas formulario llenar y enviar = de inmediato para validar su direcci=C3=B3n de e-mail.
Nombre de Usuario: ……………..
Contrase=C3=B1a anterior: ……………..
Nueva Contrase=C3=B1a: …………….
gracias
administrador del sistema

Hemos comprobado que el IP de donde llegan estos mensajes son, efectivamente, ubicados en Honduras, el servidor de correo es legítimo y el registro MX del DNS también lo es.

;; ANSWER SECTION:
seplan.gob.hn.        14400    IN    MX    10 sepsrvzcs001.seplan.gob.hn.

Sin embargo el campo “Reply-To:” de la cabecera ocasionará que la respuesta de la víctima sea enviada a boxxkingz@hotmail.com, por lo que sugerimos bloquear la salida de mensajes hacia esta dirección.

Como siempre les manifestamos, estamos a la espera de sus reportes de este tipo de eventos, que podrán mantenerse anónimos si el remitente así lo desea.

Charla “Creando un CSIRT” en la Escuela de Ingeniería de Sistemas de la Universidad Señor de Sipán

Tuve el honor de ser invitado a dictar una breve charla y aproveché para tratar de animar a los alumnos presenciales de Ingeniería de Sistemas a que formen, con el apoyo de sus entusiastas profesores, un CSIRT universitario. De hecho, sería el primero de su tipo en el Norte peruano.

CSIRTCuenten con mi apoyo. Por cierto, la presentación y los documentos de la charla están publicados aquí el PPT: PresentacionCSIRT-USS, el documento de Carnegie Mellon en Español: CrearUnCSIRT-final, modelos organizacionales de un CSIRT ModelosOrganizacionalesParaCSIRTs  y otra guía más de CMU también en Inglés ManualParaCSIRTs