Vamos a analizar un nuevo correo, que en apariencia procede de Amazon:
y si analizamos las cabeceras:
Received: from mm-notify-out-209-61.amazon.com (mm-notify-out-209-61.amazon.com [72.21.209.61]) by mail10.deltacom.net with ESMTP id 33vt7395967jvp.17.20100621063209; Mon, 21 Jun 2010 15:32:09 +0900
sin embargo todos los enlaces del correo, que NUNCA debemos seguir, no nos llevan a Amazon sino a http://townknow.com es decir han falsificado tanto el contenido, como el remitente del correo para hacer que accedamos a una determinada web (PHISING).
Llegados a este punto debe darnos igual si la web es realmente una farmacia canadiense que vende viagra, o no, o si la viagra que venden es auténtica o un placebo sin ningún valor, puesquien empieza engañando, por que no ha de engañar hasta el final
Pero bueno, como es un weblog ténico vamos a analizar dónde el dominio se ha registrado ... en China
Registrar: BEIJING INNOVATIVE LINKAGE TECHNOLOGY LTD. DBA DNS.COM.CN
Whois Server: whois.dns.com.cn
Referral URL: http://www.dns.com.cn
Name Server: NS1.ABOVEPLAIN.COM
Name Server: NS3.SPOKESPICY.COM
Name Server: NS4.SPOKESPICY.COM
Name Server: NS6.B3J.RU
Status: clientHold
Status: clientTransferProhibited
Updated Date: 21-jun-2010
Creation Date: 19-jun-2010
Expiration Date: 19-jun-2011
y apunta a servidores como http://spokespicy.com (111.224.252.6) o http://NS6.B3J.Ru (111.224.252.6) que también están China en concreto en la provinvia de Hebei.
Los casos de phisings pueden informarse y consultarse en Reputation Authority , Phistank de OpenDNS y a Netcraft
Este SPAM se analiza también aquí
Este SPAM se analiza también aquí
No hay comentarios:
Publicar un comentario