Acabo de recibir un correo no deseado que en su totalidad decía: "Hola, no te olvides de todas mis tareas". Está en texto plano; No hay contenido oculto. El remitente falso con el nombre de dominio mi , utiliza un nombre que no tengo en mi colección anterior de correo no deseado. (Lo guardo todo por un mes, en caso de desajustes del filtro y cierta curiosidad mórbida). ¿Cuál podría ser el posible ángulo aquí?
Return-Path: <[email protected]>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on example.edu
X-Spam-Status: No, score=2.3 required=5.0 tests=BAYES_05,BOGO_T25_HAM,
FSL_HELO_NON_FQDN_1,HEADER_FROM_DIFFERENT_DOMAINS,RCVD_IN_BRBL_LASTEXT,
RDNS_NONE,SPF_FAIL,TO_EQ_FM_DOM_SPF_FAIL,TVD_RCVD_SINGLE autolearn=no
autolearn_force=no version=3.4.0
X-Spam-Level: xx
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from KVKRYIUZS (unknown [113.105.180.234])
by example.example.org (Postfix) with ESMTP id 2F21785E4E11
for <[email protected]>; Mon, 9 Jan 2017 12:49:11 -0500 (EST)
Message-ID: <[email protected]>
Date: Tue, 10 Jan 2017 01:16:51 +0800
From: Jacob Lamothe <[email protected]>
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101
Thunderbird/24.2.0
MIME-Version: 1.0
To: [email protected]
Subject: Hello from Lamothe
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit
Hi, don't forget about all my tasks.
Thanks.
Eso es todo, no hay otras partes del mensaje. Reemplacé mi dominio con example.org
. Todos los encabezados X-
son legítimos y de mi propio sistema. El encabezado del sobre "Return-Path" es interesante, ya que una búsqueda rápida ve eso implicado en varios ataques de phishing.
Yo tengo tengo un par de otros mensajes con esa misma ruta de retorno. Son prácticamente idénticos, y se parecen a:
Return-Path: <[email protected]>
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from 80.red-80-34-69.staticip.rima-tde.net
(80.red-80-34-69.staticip.rima-tde.net [80.34.69.80])
by example.example.org (Postfix) with ESMTP id 10B988048645
for <[email protected]>; Thu, 22 Dec 2016 17:23:33 -0500 (EST)
Received: from [145.214.112.131] (port=28899 helo=[10.0.4.34]) by 80.34.69.80
with asmtp id 1rqLaL-000MX-00 for [email protected]; Thu, 22 Dec 2016
22:50:38 +0100
Message-ID: <[email protected]>
Date: Thu, 22 Dec 2016 22:50:38 +0100
From: Fax Scanner <[email protected]>
MIME-Version: 1.0
To: [email protected]
Subject: You have recevied a message
Content-Type: multipart/mixed;
boundary="------------050107040507000606080309"
This is a multi-part message in MIME format.
--------------050107040507000606080309
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit
You have received a message on efax.
Please download and open document attached.
Scanner eFax system.
--------------050107040507000606080309
Content-Type: application/zip; name="Message efax system-5733.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Message efax system-8631.zip"
[removed]
--------------050107040507000606080309
"Eliminado" es un archivo zip que contiene un troyano javascript. (Identificado por un escáner en línea como un posible descargador de ransomware). Entonces, ¿tal vez haya alguna relación? Pero, los encabezados no parecen similares: formato diferente para Message-ID
, no User-Agent
en el segundo, etc. Y llegó varias semanas antes que el anterior. Definitivamente entiendo de qué se tratan los escaneos falsos, pero si se conectan al mensaje anterior, no puedo ver cómo.