¿Por qué un spammer muy anónimo me exhorta a "no olvidarme de todas mis tareas"?

Navega tus respuestas
4

Acabo de recibir un correo no deseado que en su totalidad decía: "Hola, no te olvides de todas mis tareas". Está en texto plano; No hay contenido oculto. El remitente falso con el nombre de dominio mi , utiliza un nombre que no tengo en mi colección anterior de correo no deseado. (Lo guardo todo por un mes, en caso de desajustes del filtro y cierta curiosidad mórbida). ¿Cuál podría ser el posible ángulo aquí? 

Return-Path: <AmericanExpress@welcome.aexp.com>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on example.edu
X-Spam-Status: No, score=2.3 required=5.0 tests=BAYES_05,BOGO_T25_HAM,
        FSL_HELO_NON_FQDN_1,HEADER_FROM_DIFFERENT_DOMAINS,RCVD_IN_BRBL_LASTEXT,
        RDNS_NONE,SPF_FAIL,TO_EQ_FM_DOM_SPF_FAIL,TVD_RCVD_SINGLE autolearn=no
        autolearn_force=no version=3.4.0
X-Spam-Level: xx
X-Original-To: mattdm@example.org
Delivered-To: mattdm@example.example.org
Received: from KVKRYIUZS (unknown [113.105.180.234])
        by example.example.org (Postfix) with ESMTP id 2F21785E4E11
        for <mattdm@example.org>; Mon,  9 Jan 2017 12:49:11 -0500 (EST)
Message-ID: <ZA6SW6MK.8115640@welcome.aexp.com>
Date: Tue, 10 Jan 2017 01:16:51 +0800
From: Jacob Lamothe <Jacob.Lamothe@example.org>
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101
        Thunderbird/24.2.0
MIME-Version: 1.0
To: attdm@example.org
Subject: Hello from Lamothe
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit

Hi, don't forget about all my tasks.

Thanks.

Eso es todo, no hay otras partes del mensaje. Reemplacé mi dominio con example.org . Todos los encabezados X- son legítimos y de mi propio sistema. El encabezado del sobre "Return-Path" es interesante, ya que una búsqueda rápida ve eso implicado en varios ataques de phishing.

Yo tengo tengo un par de otros mensajes con esa misma ruta de retorno. Son prácticamente idénticos, y se parecen a: 

Return-Path: <AmericanExpress@welcome.aexp.com>
X-Original-To: mattdm@example.org
Delivered-To: mattdm@example.example.org
Received: from 80.red-80-34-69.staticip.rima-tde.net
        (80.red-80-34-69.staticip.rima-tde.net [80.34.69.80])
        by example.example.org (Postfix) with ESMTP id 10B988048645
        for <mattdm@example.org>; Thu, 22 Dec 2016 17:23:33 -0500 (EST)
Received: from [145.214.112.131] (port=28899 helo=[10.0.4.34]) by 80.34.69.80
        with asmtp id 1rqLaL-000MX-00 for mattdm@example.org; Thu, 22 Dec 2016
        22:50:38 +0100
Message-ID: <399761218.20161222215038@welcome.aexp.com>
Date: Thu, 22 Dec 2016 22:50:38 +0100
From: Fax Scanner <scanner@example.org>
MIME-Version: 1.0
To: mattdm@example.org
Subject: You have recevied a message
Content-Type: multipart/mixed;
        boundary="------------050107040507000606080309"

This is a multi-part message in MIME format.
--------------050107040507000606080309
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit

You have received a message on efax.
Please download and open document attached.

Scanner eFax system.

--------------050107040507000606080309
Content-Type: application/zip; name="Message efax system-5733.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Message efax system-8631.zip"
 [removed]
    --------------050107040507000606080309

"Eliminado" es un archivo zip que contiene un troyano javascript. (Identificado por un escáner en línea como un posible descargador de ransomware). Entonces, ¿tal vez haya alguna relación? Pero, los encabezados no parecen similares: formato diferente para Message-ID , no User-Agent en el segundo, etc. Y llegó varias semanas antes que el anterior. Definitivamente entiendo de qué se tratan los escaneos falsos, pero si se conectan al mensaje anterior, no puedo ver cómo.

    
pregunta mattdm 10.01.2017 - 11:42
fuente

2 respuestas

2

Se trata de "descubrimientos" típicos de malware / phishing / spam de mercado.

  1. Validar la dirección de correo electrónico del destinatario
  2. Validar la dirección de correo electrónico del remitente
  3. confirme que su servidor de correo electrónico permita la retransmisión de correo desde el mismo origen de dominio sin autenticación
  4. Confirme que su servidor de correo electrónico acepte e incluya en la lista blanca la ruta de retorno en lugar de rebotar el mensaje.

113.105.180.234 pertenece a la red de la red de la provincia de Guangdong de ChinaNet.

De hecho, es normal que un atacante de spam inicie el descubrimiento y ataque de spam utilizando el ISP más barato que puedan encontrar. Difundir el ataque de múltiples proveedores de servicios aumentará su tasa de éxito. Además, el spammer puede "vender en forma cruzada" a servidores y direcciones de correo electrónico vulnerables a otros.

Deshabilitar open-relay solo significa que el spammer no puede usar su servidor de correo electrónico para atacar a otros. Necesita otro nivel de seguridad para evitar que los estafadores envíen correo electrónico mediante phishing como usuario dentro de su dominio (por ejemplo, scanner@example.org, Jacob.Lamothe @ example.org), en el que la gente caerá a rezar y considerará que es un correo legítimo.

Consulte la configuración de restricción del servidor de correo para averiguar cuál es la mejor estrategia. Tenga en cuenta que, antes de implementar dicha restricción, debe verificar si hay algún servicio interno (que pueda no tener la capacidad de autenticación) afectada por la restricción. Es posible que deba proporcionar una excepción explícita de IP interna para esos servicios.

    
respondido por el mootmoot 10.01.2017 - 15:15
fuente
1

Dependiendo de si hubo o no píxeles de seguimiento en el correo electrónico, podrían estar verificando si su dirección está activa. Si es así, es posible que esperen que respondas para confirmar que la cuenta realmente está activa y que eres el tipo de persona que respondería a correos electrónicos sospechosos (por ejemplo, una marca potencial).

    
respondido por el Philip Rowlands 10.01.2017 - 12:09
fuente

Lea otras preguntas en las etiquetas

XSS y Política de seguridad de contenido ¿Los dispositivos inalámbricos en la misma red segura WPA2-Personal se escuchan entre sí?