Con el phising ocurre algo gracioso. Por una parte, la gente que sabe los trucos que suelen utilizar los estafadores para engañar y que los correos electrónicos o mensajes parezcan reales y legítimos, procedentes de verdad de una gran compañía. Por otra parte, siempre se ha dicho que los estafadores prefieren un punto medio, es decir, hacer que un mail tenga ciertos fallos para encontrar a víctimas que lleguen hasta el final de la estafa y no sospechen a medias.
Hoy hablaremos de la primera parte, es decir, de cómo las prácticas alrededor de los correos electrónicos se complican con el tiempo para hacer menos evidentes los timos. Gracias a Chuiso (@chuisochuisez) hemos conocido una nueva forma de engañar con el remitente.
Como se lo curran los indios con el phishing. Te meten en CCO a ti, y a user@microsoft.com como CC para que parezca que el email te lo envía realmente user@microsoft. Qué pena que luego la landing sea lamentablemente cantosa. Espero que no caiga mucha gente aún con estas cosas 🤦♂️ pic.twitter.com/V1XIE3q1Mz
— Chuiso (@chuisochuisez) June 22, 2021
Jugar con CC y CCO, una forma visual de engaño
Gracias a un correo recibido por Chuido, ha descubierto que, correos enviados por una dirección de hotmail, rdvon****@hotmail.com, parecían enviados por user@microsoft.com. Lo que pasaba realmente es que user@microsoft.com, que es una dirección válida de Microsoft, estaba insertado en la casilla de CC del correo electrónico. A él, Chuido, el destinatario real de la estafa, lo habían incluido en CCO, de forma que se ocultaba.
Con esto, al menos su cliente de correo electrónico, mostraba la información de una forma en que parecía procedente de Microsoft. Quizá en otros clientes no se muestre así, pero es algo a tener muy en cuenta cuando se aconseje sobre formas de detectar phishing. Lo mejor, en cualquier caso, es pulsar sobre los nombres o en botones que nos den más detalles, para ver quién es el remitente real, que siempre quedará visible de una forma u otra.
Si vemos el contenido del mail, la evidencia de que se trata de phishing es muy clara. La fuente no es la usada por Microsoft en sus comunicaciónes, ni la forma del botón de "Verify now", etc. La web de destino del botón también es especialmente horrible estéticamente hablando, de una forma que Microsoft no habría programado ni en el año 2000.
Ver 15 comentarios