¿Por qué un spammer muy anónimo me exhorta a "no olvidarme de todas mis tareas"?

4

Acabo de recibir un correo no deseado que en su totalidad decía: "Hola, no te olvides de todas mis tareas". Está en texto plano; No hay contenido oculto. El remitente falso con el nombre de dominio mi , utiliza un nombre que no tengo en mi colección anterior de correo no deseado. (Lo guardo todo por un mes, en caso de desajustes del filtro y cierta curiosidad mórbida). ¿Cuál podría ser el posible ángulo aquí?

Return-Path: <[email protected]>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on example.edu
X-Spam-Status: No, score=2.3 required=5.0 tests=BAYES_05,BOGO_T25_HAM,
        FSL_HELO_NON_FQDN_1,HEADER_FROM_DIFFERENT_DOMAINS,RCVD_IN_BRBL_LASTEXT,
        RDNS_NONE,SPF_FAIL,TO_EQ_FM_DOM_SPF_FAIL,TVD_RCVD_SINGLE autolearn=no
        autolearn_force=no version=3.4.0
X-Spam-Level: xx
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from KVKRYIUZS (unknown [113.105.180.234])
        by example.example.org (Postfix) with ESMTP id 2F21785E4E11
        for <[email protected]>; Mon,  9 Jan 2017 12:49:11 -0500 (EST)
Message-ID: <[email protected]>
Date: Tue, 10 Jan 2017 01:16:51 +0800
From: Jacob Lamothe <[email protected]>
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101
        Thunderbird/24.2.0
MIME-Version: 1.0
To: [email protected]
Subject: Hello from Lamothe
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit

Hi, don't forget about all my tasks.

Thanks.

Eso es todo, no hay otras partes del mensaje. Reemplacé mi dominio con example.org . Todos los encabezados X- son legítimos y de mi propio sistema. El encabezado del sobre "Return-Path" es interesante, ya que una búsqueda rápida ve eso implicado en varios ataques de phishing.

Yo tengo tengo un par de otros mensajes con esa misma ruta de retorno. Son prácticamente idénticos, y se parecen a:

Return-Path: <[email protected]>
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from 80.red-80-34-69.staticip.rima-tde.net
        (80.red-80-34-69.staticip.rima-tde.net [80.34.69.80])
        by example.example.org (Postfix) with ESMTP id 10B988048645
        for <[email protected]>; Thu, 22 Dec 2016 17:23:33 -0500 (EST)
Received: from [145.214.112.131] (port=28899 helo=[10.0.4.34]) by 80.34.69.80
        with asmtp id 1rqLaL-000MX-00 for [email protected]; Thu, 22 Dec 2016
        22:50:38 +0100
Message-ID: <[email protected]>
Date: Thu, 22 Dec 2016 22:50:38 +0100
From: Fax Scanner <[email protected]>
MIME-Version: 1.0
To: [email protected]
Subject: You have recevied a message
Content-Type: multipart/mixed;
        boundary="------------050107040507000606080309"

This is a multi-part message in MIME format.
--------------050107040507000606080309
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit

You have received a message on efax.
Please download and open document attached.

Scanner eFax system.

--------------050107040507000606080309
Content-Type: application/zip; name="Message efax system-5733.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Message efax system-8631.zip"
 [removed]
    --------------050107040507000606080309

"Eliminado" es un archivo zip que contiene un troyano javascript. (Identificado por un escáner en línea como un posible descargador de ransomware). Entonces, ¿tal vez haya alguna relación? Pero, los encabezados no parecen similares: formato diferente para Message-ID , no User-Agent en el segundo, etc. Y llegó varias semanas antes que el anterior. Definitivamente entiendo de qué se tratan los escaneos falsos, pero si se conectan al mensaje anterior, no puedo ver cómo.

    
pregunta mattdm 10.01.2017 - 11:42
fuente

2 respuestas

2

Se trata de "descubrimientos" típicos de malware / phishing / spam de mercado.

  1. Validar la dirección de correo electrónico del destinatario
  2. Validar la dirección de correo electrónico del remitente
  3. confirme que su servidor de correo electrónico permita la retransmisión de correo desde el mismo origen de dominio sin autenticación
  4. Confirme que su servidor de correo electrónico acepte e incluya en la lista blanca la ruta de retorno en lugar de rebotar el mensaje.

113.105.180.234 pertenece a la red de la red de la provincia de Guangdong de ChinaNet.

De hecho, es normal que un atacante de spam inicie el descubrimiento y ataque de spam utilizando el ISP más barato que puedan encontrar. Difundir el ataque de múltiples proveedores de servicios aumentará su tasa de éxito. Además, el spammer puede "vender en forma cruzada" a servidores y direcciones de correo electrónico vulnerables a otros.

Deshabilitar open-relay solo significa que el spammer no puede usar su servidor de correo electrónico para atacar a otros. Necesita otro nivel de seguridad para evitar que los estafadores envíen correo electrónico mediante phishing como usuario dentro de su dominio (por ejemplo, [email protected], Jacob.Lamothe @ example.org), en el que la gente caerá a rezar y considerará que es un correo legítimo.

Consulte la configuración de restricción del servidor de correo para averiguar cuál es la mejor estrategia. Tenga en cuenta que, antes de implementar dicha restricción, debe verificar si hay algún servicio interno (que pueda no tener la capacidad de autenticación) afectada por la restricción. Es posible que deba proporcionar una excepción explícita de IP interna para esos servicios.

    
respondido por el mootmoot 10.01.2017 - 15:15
fuente
1

Dependiendo de si hubo o no píxeles de seguimiento en el correo electrónico, podrían estar verificando si su dirección está activa. Si es así, es posible que esperen que respondas para confirmar que la cuenta realmente está activa y que eres el tipo de persona que respondería a correos electrónicos sospechosos (por ejemplo, una marca potencial).

    
respondido por el Philip Rowlands 10.01.2017 - 12:09
fuente

Lea otras preguntas en las etiquetas