Recibió 2 "Notificación de estado de entrega (error)" Correo de [email protected] con mensajes que no envié. ¿Es esto un ataque?

2

Hace aproximadamente 1-2 horas, recibí 2 correos electrónicos de [email protected] en mi correo electrónico personal con el título "Notificación de estado de entrega (error)" y un cuerpo como tal:

  

Esta es una Notificación de estado de entrega generada automáticamente.

     

Error en la entrega a los siguientes destinatarios.

   (email I never heard of)

Los correos electrónicos tienen 2 archivos adjuntos: details.txt que contiene el siguiente contenido:

  

Reporting-MTA: dns; SNT004-IMC1S8.hotmail.com Recibido de MTA:   dns; SNT004-MC5F5.hotmail.com Fecha de llegada: viernes, 2 de junio de 2017 11:03:56   -0700

     

Destinatario final: rfc822; (correo electrónico que nunca he escuchado) Acción: error Estado: 5.5.0   Código de diagnóstico: smtp; 550 Acción solicitada no realizada: buzón   no disponible (-506263085: 397: 0)

y un elemento de Outlook llamado "Has Have Postcard" con credenciales de inicio de sesión para My Postcard.

¿Se trata de una estafa conocida o ataque de malware? Utilizo Outlook y, desafortunadamente, mostró ambos correos electrónicos en una ventana de vista previa, lo que, por lo que entiendo, es tan malo como abrir directamente el correo electrónico con respecto a la posibilidad de infección.

Actualización: el sitio web al que está vinculado el correo electrónico "Tienes una postal" es wintergate dot com slash controlsk dot php (escapado para evitar visitas accidentales). Una de las credenciales (en caso de que ayude) es kkrasa, dominio msn, dominio de nivel superior com (se escapó para evitar el spam) con la contraseña "BIZ" + "K7", por lo que ambos términos citados concatenados en este orden sin comillas dobles.

Si alguien está interesado en el HTML directo del correo postal, puede encontrarlo en enlace . Ya eliminé el correo electrónico original, por lo que no puedo proporcionar nada más allá de esto (esto estaba en mi caché de Notepad ++).

    
pregunta Nzall 02.06.2017 - 21:18
fuente

2 respuestas

3

Es un tipo muy común de phishing. Lo más probable es que tengan una copia falsa de su dirección como remitente (De:) y pueden provocar un rebote intencionalmente para que reciba / abra los correos electrónicos.

Tienes razón en que es tan malo. Esto es especialmente cierto si el correo electrónico está codificado en html y podría estar ejecutando algo malicioso y ni siquiera lo sabrías.

Siempre es mucho más seguro ejecutar Outlook en modo de texto sin formato y probablemente solo cargue correos electrónicos html de fuentes confiables. Su otra opción es que si usa Windows (lo más probable) debido a su perspectiva, puede hacer que su antivirus analice sus correos electrónicos para estar más seguro.

Una vez más, me gustaría optar por ver los correos electrónicos en texto sin formato solo para estar seguro.

    
respondido por el takumi 02.06.2017 - 21:56
fuente
1

Es muy probable que sea un phishing simple, potencialmente con una baliza incrustada si el mensaje contenía HTML. Cualquier imagen descargada al ver el mensaje puede ser utilizada por un spammer / estafador para verificar que haya enviado correo a una dirección de trabajo. Como dijo Takumi, use texto sin formato si está disponible en su MTA, y deshabilite las vistas previas y la carga de imágenes.

Debe examinar los encabezados de correo para determinar si el mensaje realmente proviene de servidores autorizados para enviar en nombre de la dirección en el campo 'De' visible de su MTA. En casos como este (DSN, notificación de rebote, etc.), observo la cadena de relés en los encabezados para asegurarme de que el "administrador de correo" sea realmente el administrador de correo en el dominio del que dice ser el mensaje. Microsoft firma mensajes con encabezados DKIM; Estos también se pueden utilizar para determinar la validez. Su servidor de correo (o el de su proveedor) debe verificar esto y usarlo como parte de un proceso de revisión de correo no deseado, pero muchos no lo hacen. Publica los encabezados si quieres ayuda para leerlos. Tenga en cuenta las implicaciones: si no quiere que un "atacante" sepa que su dirección es suya y lea su correo electrónico, no lo publique aquí :)

Si está utilizando OWA, es posible que los servidores de correo web puedan haber recuperado el contenido del mensaje de vista previa (y cualquier imagen remota u otros archivos adjuntos), al menos evitando que su IP sea revelada al remitente.

    
respondido por el Eli Heady 02.06.2017 - 22:11
fuente

Lea otras preguntas en las etiquetas