Phishing con enlaces a sitios reales (facebook): ¿qué podrían ganar? [cerrado]

2

Me enviaron un correo electrónico de aspecto inocuo y genuino con "Bienvenido de nuevo a Facebook" de la dirección "[email protected]". Desactivé mi cuenta hace mucho tiempo, así que me sorprendió un poco. Me engañaron ya que tanto los enlaces del correo electrónico estaban dirigidos al sitio real de Facebook, y la dirección del correo electrónico real no se mostraba, solo el nombre, que era "facebook".

Pero esto me lleva a preguntarme, ya que ambos enlaces en el correo electrónico se dirigían a la página real de Facebook, ¿qué podría sacar el remitente de tal correo electrónico?

Ediciones:

La dirección de correo electrónico fue [email protected]

Aquí está el correo electrónico (cambié mi dirección de correo electrónico a myid y el nombre del servidor a myserver):

Return-Path: <[email protected]>
Received: from kasse06.itea.myserver (kasse06.itea.myserver [129.241.56.234])
     by mot.itea.myserver (Cyrus v2.3.16-Fedora-RPM-2.3.16-6.el6_2.5) with LMTPA;
     Sat, 03 May 2014 05:39:27 +0200
X-Sieve: CMU Sieve 2.3
Received: from localhost (localhost [127.0.0.1])
    by kasse06.itea.myserver (Postfix) with ESMTP id 806762000F2
    for <[email protected]>; Sat,  3 May 2014 05:39:27 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at kasse06.itea.myserver
X-Spam-Flag: NO
X-Spam-Score: -1.1
X-Spam-Level: 
X-Spam-Status: No, score=-1.1 tagged_above=-999 required=5
    tests=[BAYES_00=-3.6, DKIM_SIGNED=-0.001, DKIM_VALID=-0.1,
    DKIM_VALID_AU=-0.1, DKIM_VERIFIED=-0.1, HTML_MESSAGE=0.001,
    NTNU_PH_MAIL_SA=1.5, NTNU_PH_PHRS_91=2.9, NTNU_PH_URL_98=0.1,
    RCVD_IN_DNSWL_LOW=-0.7, SPF_PASS=-0.001, T_NTNU_NICE_DKIM_SPF=-1,
    UNPARSEABLE_RELAY=0.001] autolearn=no
Authentication-Results: kasse06.itea.myserver (amavisd-new); dkim=pass
    [email protected]
Received: from mx-out.facebook.com (outmail017.ash2.facebook.com [66.220.155.151])
    by kasse06.itea.myserver (Postfix) with ESMTP id 9750A2003C2
    for <[email protected]>; Sat,  3 May 2014 05:39:24 +0200 (CEST)
Received: from facebook.com (2lkICU/ZQQWprcP9zKuyAff/Lpyxvuvbl+Y44S1SuODxClBxdtqLF4w+pN51v+j+ 10.224.41.89)
 by facebook.com with Thrift id 841465dad27411e3bddc0002c9e0e150-14dc74a0;
 Fri, 02 May 2014 20:39:22 -0700
X-Facebook: from 2401:db00:3010:6056:face:0:4f:0 ([MTI3LjAuMC4x]) 
    by www.facebook.com with HTTP (ZuckMail);
Date: Fri, 2 May 2014 20:39:22 -0700
To: myid Bakken Stovner <[email protected]>
From: "Facebook" <[email protected]>
Reply-to: noreply <[email protected]>
Subject: Welcome back to Facebook
Message-ID: <[email protected]>
X-Priority: 3
X-Mailer: ZuckMail [version 1.00]
Errors-To: [email protected]
X-Facebook-Notify: account_reactivation; mailid=9ce6218G2dd50372G0G158G3452e4b1
X-FACEBOOK-PRIORITY: 0
X-Auto-Response-Suppress: All
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="b1_6489aeacae881e13b9c2861e43ed7de5"
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=facebookmail.com;
    s=s1024-2013-q3; t=1399088362;
    bh=9qoIL602ssAgEP/GBOT1a+TiZQpVHk1yxgybG72Q35c=;
    h=Date:To:From:Subject:MIME-Version:Content-Type;
    b=tVwl5S3WQ746wxhzHqG4iE9Kr5tLrybLPKLPlP+uTo0zon/XiJbu2n0RDsI7rv+1H
     /+W0Dhv/NbuNuXDbrvxPHHA5CPuboFQ8iT44S/tv139l+ZUt+GJDoN2g3V/GMGjha0
     yLwtXftW2J7p7EOAEWMCHq0VcTq44B0+/yB2oK9w=


--b1_6489aeacae881e13b9c2861e43ed7de5
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Hi myid,

Hey myid,

The Facebook account associated with [email protected] was recently =
reactivated.

If you were not the one who reactivated this account, please visit our =
Help Center.

Thanks,
The Facebook Team

=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
This message was sent to [email protected] at your request.
Facebook, Inc., Attention: Department 415, PO Box 10005, Palo Alto, CA =
94303


--b1_6489aeacae881e13b9c2861e43ed7de5
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional =
//EN"><html><head><title>Facebook</title><meta http-equiv=3D"Content-Type" =
content=3D"text/html; charset=3Dutf-8" /></head><body =
style=3D"margin:0;padding:0;" dir=3D"ltr"><table cellspacing=3D"0" =
cellpadding=3D"0" id=3D"email_table" =
style=3D"border-collapse:collapse;width:98%;" border=3D"0"><tr><td =
id=3D"email_content" style=3D"font-family:&#039;lucida =
grande&#039;,tahoma,verdana,arial,sans-serif;font-size:12px;"><span =
style=3D"width:620px;color:#FFFFFF;display:none =
!important;font-size:1px;">Hey myid, The Facebook account associated with =
myidbak&#064;stud.myserver was recently reactivated. If you were not the =
one who reactivated this account, please visit our Help Center =
.</span><table cellspacing=3D"0" cellpadding=3D"0" =
style=3D"border-collapse:collapse;width:620px;"><tr><td =
style=3D"font-size:16px;font-family:&#039;lucida grande&#039;,tahoma,verda=
na,arial,sans-serif;background:#3b5998;color:#FFFFFF;font-weight:bold;vert=
ical-align:baseline;letter-spacing:-0.03em;text-align:left;padding:5px =
20px;"><a style=3D"text-decoration: none;" href=3D"https://www.facebook.co=
m/n/?help%2Fsecurity&amp;medium=3Demail&amp;mid=3D9ce6218G2dd50372G0G158G3=
452e4b1&amp;bcode=3D1.1399088362.AbnGaQM9xIhr_Mbi&amp;n_m=3Dmyidbak%40stu=
d.myserver"><span style=3D"background:#3b5998;color:#FFFFFF;font-weight:bol=
d;font-family:&#039;lucida =
grande&#039;,tahoma,verdana,arial,sans-serif;vertical-align:middle; =
font-size:16px;letter-spacing:-0.03em;text-align:left;vertical-align:basel=
ine;">facebook</span></a></td></tr></table><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"620px" =
style=3D"border-collapse:collapse;width:620px;" border=3D"0"><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding:0px;background-color:#f2f2f2;border-left:none;border-right:=
none;border-top:none;border-bottom:none;"><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"620px" =
style=3D"border-collapse:collapse;"><tr><td style=3D"font-size:11px;font-f=
amily:LucidaGrande,tahoma,verdana,arial,sans-serif;padding:0px;width:620px=
;"><table cellspacing=3D"0" cellpadding=3D"0" border=3D"0" =
style=3D"border-collapse:collapse;width:100%;"><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding:20px;background-color:#fff;border-left:none;border-right:no=
ne;border-top:none;border-bottom:none;"><table cellspacing=3D"0" =
cellpadding=3D"0" style=3D"border-collapse:collapse;width:100%;"><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;"><table cellspacing=3D"0" cellpadding=3D"0" =
style=3D"border-collapse:collapse;width:100%;"><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding-bottom:5px;"><span style=3D"color:#333333;">Hey =
myid,</span></td></tr><tr><td style=3D"font-size:11px;font-family:LucidaG=
rande,tahoma,verdana,arial,sans-serif;padding-top:5px;padding-bottom:5px;"=
><span style=3D"color:#333333;">The Facebook account associated with =
myidbak&#064;stud.myserver was recently =
reactivated.</span></td></tr><tr><td style=3D"font-size:11px;font-family:L=
ucidaGrande,tahoma,verdana,arial,sans-serif;padding-top:5px;"><span =
style=3D"color:#333333;">If you were not the one who reactivated this =
account, please visit our <a href=3D"https://www.facebook.com/n/?help%2Fse=
curity&amp;medium=3Demail&amp;mid=3D9ce6218G2dd50372G0G158G3452e4b1&amp;bc=
ode=3D1.1399088362.AbnGaQM9xIhr_Mbi&amp;n_m=3Dmyidbak%40stud.myserver" =
style=3D"color:#3b5998;text-decoration:none;">Help Center</a>.</span></td>=
</tr></table></td></tr></table></td></tr></table></td></tr><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding:0px;width:620px;"><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"100%" border=3D"0" =
style=3D"border-collapse:collapse;"><tr><td style=3D"font-size:11px;font-f=
amily:LucidaGrande,tahoma,verdana,arial,sans-serif;padding:0;background-co=
lor:#fff;border-left:none;border-right:none;border-top:1px solid =
#ccc;border-bottom:none;"></td></tr></table></td></tr></table></td></tr></=
table><table cellspacing=3D"0" cellpadding=3D"0" border=3D"0" =
style=3D"border-collapse:collapse;width:620px;"><tr><td =
style=3D"font-size:11px;font-family:&#039;lucida grande&#039;, tahoma, =
verdana, arial, sans-serif;padding:30px 20px;background-color:#fff;border-=
left:none;border-right:none;border-top:none;border-bottom:none;color:#9999=
99;border:none;">This message was sent to <a =
href=3D"mailto:myidbak&#064;stud.myserver" style=3D"color:#3b5998;text-dec=
oration:none;">myidbak&#064;stud.myserver</a> at your request.<br =
/>Facebook, Inc., Attention: Department 415, PO Box 10005, Palo Alto, CA =
94303</td></tr></table><span style=3D"width:620px;"><img =
src=3D"https://www.facebook.com/email_open_log_pic.php?mid=3D9ce6218G2dd50=
372G0G158G3452e4b1" style=3D"border:0;width:1px;height:1px;" =
/></span></td></tr></table></body></html>



--b1_6489aeacae881e13b9c2861e43ed7de5--
    
pregunta The Unfun Cat 03.05.2014 - 10:51
fuente

2 respuestas

3

Creo que este es un correo electrónico legítimo de Facebook, pero alguien ha intentado (y posiblemente lo logró) comprometer su cuenta de Facebook y reactivarla.

Mi evidencia de esto es la firma DKIM, y asumiendo que kasse06.itea.myserver es su servidor (no un posible atacante), entonces parece que ha pasado.

Authentication-Results: kasse06.itea.myserver (amavisd-new); dkim=pass

La firma DKIM significa que el mensaje debe haber sido firmado digitalmente con una clave que solo Facebook conoce, y puede verificarlo revisando los registros DNS para s1024-2013-q3._domainkey.facebookmail.com y usando la (diferente, También es una clave pública para descifrar la firma y asegurarse de que coincidan (obviamente, este proceso normalmente se realiza automáticamente en los servidores de correo).

También parece que el IP 66.220.155.151 mencionado se encuentra dentro del rango 66.220.155.128/25 especificado en los registros SPF para facebookmail.com.

Es obvio que hay una posibilidad de que me equivoque, por lo que evitaría hacer clic en los enlaces del correo electrónico y contactar a la mesa de ayuda de Facebook (los detalles para los que obviamente debería obtenerlos en otro lugar).

Estos enlaces pueden ser útiles:

enlace

enlace

    
respondido por el thexacre 04.05.2014 - 01:53
fuente
2

Si se trata de correo no deseado, proveniente de otra dirección que no sea Facebook, podría ser envenenamiento por filtro de correo no deseado.

Consulte ¿Cuál es el punto del spam gibberish

En cuanto al origen del correo, notification [email protected] no es el remitente, es la dirección de devolución. Si hace clic en responder, el correo irá a esa dirección. Eso no tiene nada que ver con el origen del correo, y no tiene ningún valor en este asunto.

Veo mot.itea.myserver aquí y allá, y me pregunto si ha cambiado eso o si ese es el valor original. Eso es algo que importa en este caso, y me dice que esto no viene de Facebook.

    
respondido por el SPRBRN 03.05.2014 - 13:42
fuente

Lea otras preguntas en las etiquetas