viernes, 26 de julio de 2013

Cómo detecté que era un phishing (correo engaña-bobos)

Me llegó un phishing. El asunto del correo es “Su cuenta está inactiva”. Un claro engaño para que les regale mis claves de acceso a mi banca en línea. Esta vez no tuvieron suerte.

¿Cómo detecté que era un phishing? Estas son las claves:
1.- El mensaje del correo en sí no dice nada. Es ambiguo. Y no tiene sentido. El mensaje dice:
Permiso SEGOB: 20456784PS03
Vigencia del Permiso: Del 15 de Julio de 2013 al 14 de Agosto de 2013.
Estamos realizando una actualización a la plataforma de seguridad móvil Y requerimos actualice de inmediato o se registre ya que esta plataforma estará activa por seguridad en 24 horas totalmente gratis. Esto es para reforzar sus sistemas de pagos, servicios, transferencias y saldos.
Para terminar este proceso de actualización de sus servicios ve al siguiente enlace AQUÍ.
LE TOMARA SOLO UN MINUTO PARA CONCLUIR CON LA NUEVA PLATAFORMA
http://www.bancomer.com.mx/minisitios/Sitio_bancomerMovil_3/Registro/

 ¿De qué plataforma habla? ¿Eh? ¿Plataforma de seguridad móvil? ¿Que actualice porque sólo estará activa 24 horas? ¿Gratis? ¿Te hace sentido eso? Pues la verdad para mí no tiene coherencia todo el párrafo.
Eso sí, les concedo que lo escribieron sin faltas de ortografía. Otros que me llegan ni un corrector le pasan los muy analfabetas.
2.- Las ligas. Lo significan todo. Si te fijas, las ligas dicen que te mandan a Bancomer. Pero tengo un truco bajo la manga. Le pasé el ratón a las ligas (sin entrar al sitio). Las ligas te mandan a http://201.116.211.85. ¿Ese es un sitio de Bancomer? ¿En serio? ¿No debería decir algo así como http://bancomer.com/blablablá? Pues claro que se trata de un engaña-bobos que levantó su servidor que nada tiene que ver con un banco. Aguas con las ligas que te mandan dentro de un correo, no todas llevan a donde dicen. Por cierto, otro truco para ver a dónde te llevan las ligas es leer el correo en texto plano (plain text).
3.- ¡Un momento, el correo tiene mi nombre! Carajo, eso sí me puso a pensar. ¿Cómo supieron mi nombre? Me angustié. Pero qué wey soy. Claro. Me están enviando su correo engañoso a mi cuenta de fausto.cepeda @ gmail.com. Estos señores hicieron un script para extraer el nombre de mi cuenta de correo (fausto.cepeda) e insertarlo en el mensaje. Nada difícil. Pero sí ingenioso, no? Hasta pudieron enviarme el correo con nombre y apellido; pero supongo que su script no es tan complejo.

4.- Las imágenes se ven muy profesionales. Ok. Eso te lo concedo. El correo si lo ves superficialmente, se ve cool. Como uno verdadero. Pues bien, la lección es que no todo lo bonito por fuera es hermoso por dentro cuando ves los detalles.

Conclusión: lo que estas personas quieren es que tú te metas a su sitio falso e ingreses tus contraseñas como si estuvieras entrando en tu banca en línea. Y luego ellos las usan para entrar a tu cuenta e intentar hacer destrozos en tus finanzas. Ya sabes, ante la duda, mejor llamar a tu banco o acudir a una sucursal. Te puede salvar de un buen susto. Muchos sitios bancarios tienen información más amplia que la que aquí te digo, ve y consúltala. 

 

7 comentarios:

ThaFitoS dijo...

A mí me ha llegado ese mensaje hoy. Me dio mala espina porque ni siquiera tengo cuenta en Bancomer, pero el correo sí que llegó con mi nombre y apellido —que no están puestos en mi dirección de correo electrónico—.

Fausto Cepeda dijo...

Vía twitter me dijeron una hipótesis: que sacaron de alguna parte una base de datos con nombres y apellidos. Si no tienes Bancomer, tal vez pruebe que esa base no salió de ese banco sino de otra parte. A mí me mandaron el correo a mi Gmail, pero esa no es la cuenta que tengo registrada con Bancomer.

Unknown dijo...

Buen articulogracias por compartir la experiencia, hay que difundir más ,uno que es usuario frecuente psss y con cierta lógica se da cuenta pero imaginense la cantidad de usuarios, jovenes, adultos mayores, etc que caen en estas artimañas, recibi el dia de hoy uno igual y por lo pronto ya hice mi denuncia a denuncia@ssp.gob.mx y Twitter: ssp_cibernetica y en Facebook en ciberneticasspdf. Saludos.

Daniel Nava dijo...

Y asi se sabe la informacion de quien creo esa pagina
http://whois.net/ip-address-lookup/148.208.135.17

inetnum: 148.208/16
status: assigned
aut-num: N/A
owner: Secretaria de Educacion e Investigacion Tecnologic
ownerid: MX-SEIT3-LACNIC
responsible: Esoj Carrasco
address: Argentina No. 68 Col. Centro Cd. de Mexico, Distrito Federal, 111,
address: 00000 - No info - ME
country: MX
phone: +52 1111111111 []
owner-c: ESC9
tech-c: ESC9
abuse-c: ESC9
inetrev: 148.208/16
nserver: NS.RTN.NET.MX
nsstat: 20130731 AA
nslastaa: 20130731
nserver: NS2.RTN.NET.MX [lame - not published]
nsstat: 20130731 UDN
nslastaa: 20050614
created: 19990903
changed: 20120901

nic-hdl: ESC9
person: Esoj Carrasco
e-mail: eccmy@ZEUS.RTN.NET.MX
address: Secretaria de Educacion e Investigacion Tecnologic, 111,
address: 00000 - Ciudad - TX
country: US
phone: +52 5256242800 []
created: 20110611
changed: 20110611

Fausto Cepeda dijo...

Gracias Daniel. Supongo que las autoridades están ya en eso. Ajá.

Unknown dijo...

Que si le pueden hacer llegar una copia a antifraude.1@bbva.bancomer.com por favor, gracias.

Unknown dijo...

El d[ia de Hoy me llego el mismo mensaje, esta es la segunda vez, el primero lo borre de inmediato, ahora me puse a investigar el Link del creador con la Pagina WHOIS.com y este es el resultado

grimal.com.mx registry whois
Updated 1 second ago - Refresh
Domain Name: grimal.com.mx

Created On: 2011-07-06
Expiration Date: 2014-07-06
Last Updated On: 2013-07-04
Registrar: InterPlanet, S.A. de C.V.
URL: http://www.suempresa.com

Registrant:
Name: javier mata
City: Zapopan
State: Jalisco
Country: Mexico

Administrative Contact:
Name: javier mata
City: Zapopan
State: Jalisco
Country: Mexico

Technical Contact:
Name: javier mata
City: Zapopan
State: Jalisco
Country: Mexico

Billing Contact:
Name: javier mata
City: Zapopan
State: Jalisco
Country: Mexico

Name Servers:
DNS: ns4.creandowebs.com
DNS: ns5.creandowebs.com