¿Qué está pasando en lo que parece ser un ataque que verifica?

Navega tus respuestas
0

Recibí un correo electrónico (texto y fuente a continuación), que parece socialmente como phishing pero técnicamente parece que se revisará. Mi mejor conjetura es que Unicode se ha utilizado para copiar nombres de dominio.

El texto de la página web es:

  

Acción requerida: su cuenta de Google está deshabilitada temporalmente
  Hola,   Hemos detectado una actividad inusual en su cuenta de Google [email protected] y la hemos bloqueado para proteger su información.

     
  1. Inicie sesión en su cuenta o en cualquier servicio de Google lo antes posible para reactivar su cuenta.
    2.   
  2. Use la Comprobación de seguridad para verificar y mejorar la seguridad de su cuenta.
    3.   

El equipo de cuentas de Google

     

Este correo electrónico no puede recibir respuestas. Para obtener más información, visite el Centro de ayuda de cuentas de Google.

     

Recibió este anuncio de servicio de correo electrónico obligatorio para actualizarlo sobre cambios importantes en su producto o cuenta de Google.

     

© 2017 Google Inc., 1600 Amphitheater Parkway, Mountain View, CA 94043, EE. UU.

La fuente es: 

Delivered-To: [email protected]
Received: by 10.80.213.202 with SMTP id g10csp342702edj;
        Thu, 7 Sep 2017 09:56:54 -0700 (PDT)
X-Received: by 10.55.98.18 with SMTP id w18mr4723276qkb.163.1504803414371;
        Thu, 07 Sep 2017 09:56:54 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1504803414; cv=none;
        d=google.com; s=arc-20160816;
        b=XSHE33mgAcZ4yoC2LYtMjwi15HSRD3yFoK8PfZqbikT2HsD7kna1ZbQoqfsU+SkbrX
         FQOIrjhEzlqeJo2rSktzXjlqoANFlgDC3Ng75scS50pD9hKPPdcL9q+kMzdZWgY2z9f8
         JG4EqfmEuVZyzeTSbFLOw7xRKOZMzC2PTtXldp70+Vn47eHgHXq0TrbwrlF9v6wDbWcZ
         4FvVV10pt/mjTxY0xd2xhcFOL9slZ55sEoGBJjxWGta29A/8ixb88XFXwWyfMAz5aQ9g
         7XklLamjcWELUwdar0YJ/12XxCTz8JOoYOUcqLYM1KqgR9Fe7ZQ1u/QATAnObodT8Q+I
         mdRw==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=to:from:subject:message-id:feedback-id:date:mime-version
         :dkim-signature:delivered-to:arc-authentication-results;
        bh=UolmLh0qPQQ90zBwrHeckq1lbjvl7J88mUQGg78J32o=;
        b=zJhCpHDJjE2eWTbs4gg3uB7A1HYY6U1ilAByF3b28IRJYYz0s2zF5Zs9m3zHFCR/nK
         QIqffIjcWkxVJK8aqgYCN9OIuc/7TWNvcs5di1pAOwi+n9+TGarcyOwEusunDtpPcoGL
         iw/ysZrXh6bKcBO7eYT8YsfKVJrNr6hEUWCkKsUHEqZq2ya2CrJvK9kO/6Md/6jvsgbU
         H63R4uuolFr5jT/EEZSfdbb/F3vgAU7sBfH0U777sx0SGxW7p8yU1ISAbQ9LWqC9fWQ6
         PO8oygngzAKvXHxSP+yP13Vzwd1WrCZgrYiCMbh1UqbfUZqUZOtDc+6cNFiG+bA09LIK
         ajig==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass [email protected] header.s=20161025 header.b=f6IaG5Yo;
       spf=pass (google.com: domain of srs0=jfi5=ai=gaia.bounces.google.com=3vxqxwqgtaoirs-vitpceggsyrxw.ksskpi.gsq@bounce2.pobox.com designates 64.147.108.55 as permitted sender) smtp.mailfrom=SRS0=jFi5=AI=gaia.bounces.google.com=3VXqxWQgTAOIRS-VITPcEGGSYRXW.KSSKPI.GSQ@bounce2.pobox.com;
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=accounts.google.com
Return-Path: 
Received: from pb-mx14.pobox.com (pb-mx14.pobox.com. [64.147.108.55])
        by mx.google.com with ESMTPS id k65si103352qkf.467.2017.09.07.09.56.54
        for 
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Thu, 07 Sep 2017 09:56:54 -0700 (PDT)
Received-SPF: pass (google.com: domain of srs0=jfi5=ai=gaia.bounces.google.com=3vxqxwqgtaoirs-vitpceggsyrxw.ksskpi.gsq@bounce2.pobox.com designates 64.147.108.55 as permitted sender) client-ip=64.147.108.55;
Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=20161025 header.b=f6IaG5Yo;
       spf=pass (google.com: domain of srs0=jfi5=ai=gaia.bounces.google.com=3vxqxwqgtaoirs-vitpceggsyrxw.ksskpi.gsq@bounce2.pobox.com designates 64.147.108.55 as permitted sender) smtp.mailfrom=SRS0=jFi5=AI=gaia.bounces.google.com=3VXqxWQgTAOIRS-VITPcEGGSYRXW.KSSKPI.GSQ@bounce2.pobox.com;
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=accounts.google.com
Received: from pb-mx14.nyi.icgroup.com (localhost [127.0.0.1]) by pb-mx14.pobox.com (Postfix) with ESMTP id 0BF4F20189 for ; Thu,
  7 Sep 2017 12:56:54 -0400 (EDT)
X-Pobox-Loop-ID: 5f0919ca6722ee2ad126d239e3273c1129427ad0
Delivered-To: [email protected]
X-Pobox-Delivery-ID: E285A2-D270B20187-1504803414-07697135!pb-mx14.pobox.com
Received: from mail-yw0-f199.google.com (mail-yw0-f199.google.com [209.85.161.199]) (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)) (No client certificate requested) by pb-mx14.pobox.com (Postfix) with ESMTPS id D270B20187 for ; Thu,
  7 Sep 2017 12:56:53 -0400 (EDT)
Received: by mail-yw0-f199.google.com with SMTP id x144so231194ywd.15
        for ; Thu, 07 Sep 2017 09:56:53 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=accounts.google.com; s=20161025;
        h=mime-version:date:feedback-id:message-id:subject:from:to;
        bh=UolmLh0qPQQ90zBwrHeckq1lbjvl7J88mUQGg78J32o=;
        b=f6IaG5YoON7KwOWfbnsZSjxoe2hN1HFuMygE5IObxV0T1uDGSGCk0O8s6at2iDabV3
         4bVGZhnz404/QdnOsWtXq1jLjBuZY0CfnCzchTTpFFS7O30kjHPGaTgwKJueW3/rUuUY
         v5M5aTgv/Z5G92XIEMDR0ArtKtyt0Yb4H00dgj3XcWQGYytjueeNrbzIYT7/bolTI8py
         3arHkjMjPu144HV22VlCzHJsscX0kgNjxDzIkTUPAiH87J8DJKQpeAW3QqMcl9NOJwZ2
         yY62lXywy0VjTJluIE2Mp2rIzypT9xpy6DR2u0X2+puY2CkSAABK5LiqAMAu1TOs7ahY
         78BQ==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20161025;
        h=x-gm-message-state:mime-version:date:feedback-id:message-id:subject
         :from:to;
        bh=UolmLh0qPQQ90zBwrHeckq1lbjvl7J88mUQGg78J32o=;
        b=nbjdinMFQvgeKuClIZZteD6R9yuaPJVPTNyw+AXejnR4IFU0iglDTb+WN35rhir9Ky
         w8oI+R73AjzEmhrHHnLzuYKJCh5iSS+miWtM6IMccTVEom/IRb4HIPytICgchy7lA8aZ
         imVmrxPna2E0kkkHVzCqpDBzkQXST9m4p4m3mESvq6uZYt+r/VtXjZjbMlVS10AqXkUB
         Y7hJ9DlSIB6dNEUkTh1g0bpwa/E/A2TyhcorFGfwp72HiX20q3W/Dgys1oo6zuAYJgQI
         vJJqgdwMuVRfrrGhRiRe8e3BwLTT32O9t5GbjXJ0rMD/60XCXfz22R0Y+LztYHxDOGyO
         +4UA==
X-Gm-Message-State: AHPjjUgzmSZPgCWmHX9MPzCSGSmIw4njupwzCIc0Utr0EXvA0HAYfDgd v46KxhtuxEOCF8zAr4DDITXl097WRldz
X-Google-Smtp-Source: ADKCNb4JVdIC05q1wFsStNjSNVjkYZ1onuhcEX2PMg9EGRKbX5+p6JVMW3HQmMc6Pnw9ANRxDif9hkAW4qhBGJpJG6gdqA==
MIME-Version: 1.0
X-Received: by 10.13.214.84 with SMTP id y81mr2097463ywd.103.1504803413568; Thu, 07 Sep 2017 09:56:53 -0700 (PDT)
Date: Thu, 7 Sep 2017 16:56:14 +0000 (UTC)
X-Notifications: XEAAAAIxDcr8zzNnoAtSR2bobk0A
X-Account-Notification-Type: 68
Feedback-ID: 68:account-notifier
Message-ID: 
Subject: Action required: Your Google Account is temporarily disabled
From: Google 
To: [email protected]
Content-Type: multipart/alternative; boundary="94eb2c0762b0ec2da405589c58ad"
X-Pobox-Client-Address: 209.85.161.199
X-Pobox-Client-Name: mail-yw0-f199.google.com
X-Pobox-Client-HELO: mail-yw0-f199.google.com
X-Pobox-Original-Sender: [email protected]

--94eb2c0762b0ec2da405589c58ad
Content-Type: text/plain; charset="UTF-8"; format=flowed; delsp=yes
Content-Transfer-Encoding: base64
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--94eb2c0762b0ec2da405589c58ad
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

@media s=
creen and (min-width: 600px) {.v2sp {padding: 6px 34px 0px;}}=
Action required: Your Google Account is temporarily disab=
led=
Hi,We=E2=80=99=
ve detected unusual activity in your Google Account jonathan.hayward@pob=
ox.com and locked it to protect your information.

1. Sign in to your account or to any Google ser=
vice as soon as possible, to reactivate your account.


2. Use the Security Checkup to verify=
 and improve your account=E2=80=99s security.
The Google Accounts=
 teamThis email can't receive replies. For more in=
formation, visit the Google Accounts Help Center.You received this mandatory email service announcement to=
 update you about important changes to your Google product or account.=
© 2017 Google Inc., 1600 Amphitheatre Parkway, Mountain View=
, CA 94043, USAet:68
--94eb2c0762b0ec2da405589c58ad--

¿Cómo, además de los errores sociales básicos en el extremo del atacante, puedo reconocer el phishing?

--UPDATE--

Comencé a escribir la nota a continuación como un comentario a una respuesta, luego me di cuenta de que debería haber puesto esto en la pregunta desde el principio. Yo escribí:

Un comentario que probablemente debería haber agregado: tengo una dirección de correo electrónico principal, [email protected], que puede enviar correos electrónicos a través de varias direcciones, incluido el envío de correos electrónicos de jonathan. [email protected] iniciando sesión en servidores pobox. La segunda dirección no tiene una cuenta de Gmail separada, solo un pasaporte para ingresar a pobox.com y enviar correos electrónicos, si así lo desea. Leí el correo electrónico citado de la primera dirección, que no parece alterado de ninguna manera.

Y más específicamente, he enviado correos electrónicos de prueba desde y hacia [email protected]. Todos ellos han pasado sin problemas.

    
pregunta JonathanHayward 08.09.2017 - 00:15
fuente

3 respuestas

6

La primera indicación de que este no es un correo electrónico de suplantación de identidad es que no hay un enlace incluido, ni instrucciones para navegar a un dominio o URL específico. El correo electrónico solo le indica que inicie sesión en su cuenta, lo que hará a través de una URL que ya sabe que es confiable.

Al mirar los encabezados, el servidor receptor ha agregado estos: 

Authentication-Results: mx.google.com; dkim=pass [email protected] header.s=20161025 header.b=f6IaG5Yo; spf=pass (google.com: domain of srs0=jfi5=ai=gaia.bounces.google.com=3vxqxwqgtaoirs-vitpceggsyrxw.ksskpi.gsq@bounce2.pobox.com designates 64.147.108.55 as permitted sender) smtp.mailfrom=SRS0=jFi5=AI=gaia.bounces.google.com=3VXqxWQgTAOIRS-VITPcEGGSYRXW.KSSKPI.GSQ@bounce2.pobox.com; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=accounts.google.com

Esto indica que el servidor receptor mx.google.com ha validado que el remitente es quien dice ser, pasando las comprobaciones de SPF y DKIM (según lo indicado por spf=pass y dkim=pass ).

Además, este encabezado contiene header.from=accounts.google.com , y nos dice que cuando el servidor de recepción de Google recibió este correo electrónico, el encabezado From contenía una dirección en accounts.google.com .

Por el motivo que sea, Gmail parece haber cambiado este encabezado para simplemente leer Google , probablemente para indicar al usuario que el propio Google ha confirmado que lo envía.

Conclusión: el correo electrónico es legítimo.

    
respondido por el TerrorBite 08.09.2017 - 04:15
fuente
4

Es difícil saber si el correo es falso, pero hay algunas cosas extrañas en él, que pueden deberse a la forma en que proporcionó el código fuente del correo:

  • La parte HTML reclama ser UTF-8 imprimible con comillas y, por lo tanto, no debe contener ningún carácter no ASCII sin codificar. Pero, lo que proporcionaste contiene un '©' claro que debería estar codificado.
  • La firma DKIM no coincide con el cuerpo del correo. Pero, de nuevo, esto podría ser un problema de cómo proporcionó la fuente del correo.
  • No hay un ID de mensaje dado (es decir, vacío). Nuevamente, esto podría ser un problema por la forma en que proporcionó el código fuente
  • Similarmente, no hay correo electrónico en el encabezado "De: .." sino solo "Google". Dado que otros encabezados afirman tener una validación de DMARC exitosa, esto no debería ser posible ya que DMARC requiere un encabezado De válido que debe coincidir con el dominio de la firma DKIM.

Mi opinión es que en realidad no proporciona el código fuente completo y exacto del correo para su validación, ya sea porque ha intentado eliminar cierta información o por la forma en que esta fuente le fue proporcionada desde el programa de correo. tu usas. En este caso, la fuente no es de mucha utilidad para un análisis más detallado.

    
respondido por el Steffen Ullrich 08.09.2017 - 07:13
fuente
0

De: Google parece sospechoso en este caso. El correo electrónico legítimo tendrá algún tipo de dirección o dirección de correo electrónico, incluso si es un noreply @.

Sin embargo, algunos correos electrónicos de phishing están especialmente bien diseñados, por lo que el consejo que siempre doy a las personas es que si recibe un correo electrónico con un enlace del cual no está seguro, tampoco:

  1. Vaya al sitio de la organización que dice que el correo electrónico es suyo. Al iniciar la comunicación, usted sabe con quién está hablando, en lugar de arriesgarse a un vínculo poco fiable en un correo electrónico. En este caso, sabrá rápidamente si su cuenta de Google está bloqueada.

  2. Póngase en contacto con el proveedor. Difícil cuando es google, pero si fuera un banco, por ejemplo, podrían decirte si el correo electrónico era legítimo.

Espero que ayude.

    
respondido por el Damon Johnstone 08.09.2017 - 00:56
fuente

Lea otras preguntas en las etiquetas

¿Sería más seguro imponer "al menos una mayúscula" o imponer "al menos una letra (en cualquier caso)" explicación de la inyección SQL