Otro ejemplo de phising de email

Ya hemos hablado de los e-mail de phising para el secuestro de una cuenta de correo  en los que se invita al receptor a visitar un link por motivos de lo más variopintos: alcanzado el límite de espacio disponible, intentos de acceso con contraseña erroneas, , ... aquí un nuevo ejemplo en el que se aduce temas de SPAM.

To:"president" president@uop.edu.jo

From:upgrade@webmaster.com

Subject:Important: Email Account Verification Update!!!??

IT Service,

A Computer Database Maintainance is currently going on our Webmail Message Center. Our Message Center needs to be re-set because of the high amount of spam mails you receive daily. A Quarantine Maintainance will help us prevent this everyday dilemma.

To prevent this, please click / copy the url below and paste on your web browser to register your webmail account.

http://tinyurl.com/35lmvt7

Failure to revalidate your account for upgrade means you still want to continue recieving large spam mails and will lead to exceeding the limit of mailbox.

Regards,

IT Service Helpdesk

El análisis de las cabeceras indica que desde una Ip privada 192.168.40.103 se ha enviado el correo a través del SMTP de mailsec.uop.edu.jo [80.90.167.90](Jordania).

El link incluido en el correo lleva a http://tinyurl.com/35lmvt7 (una web que genera alias de URL) que redirecciona a http://vzturl.com/o19 (otra web de generación de alias de URL o redireccionamiento) que realmente visualiza el código almacenado en una web atacada http://objectivoprincipal.com/Contacto/use/bayo/form1.html

En el directorio creado por el atacante http://objectivoprincipal.com/Contacto/use/bayo/ se ven todo lo que ha cargado en la web http://objectivoprincipal.com que nada tiene que ver con esta movida.