¿Cuál es el vector de ataque previsto de este correo electrónico?

Navega tus respuestas
8

Recibí este correo electrónico en mi bandeja de entrada:

Parecebastanteinocuoylafuentedelmensajetiendeaconfirmaresto:

Return-Path:<[email protected]>X-Original-To:[email protected]:[email protected]:byquickmediasolutions.com(Postfix,fromuserid117)id1DBEB3F466;Fri,17Mar201701:32:56+0000(UTC)X-Spam-Checker-Version:SpamAssassin3.4.1(2015-04-28)onmail.quickmediasolutions.comX-Spam-Level:***X-Spam-Status:No,score=3.7required=5.0tests=BAYES_60,RCVD_IN_BRBL_LASTEXT,RDNS_NONE,SPF_HELO_PASS,SPF_PASSautolearn=noautolearn_force=noversion=3.4.1Received-SPF:Pass(senderSPFauthorized)identity=mailfrom;client-ip=201.197.252.218;helo=retinaljessicandis.info;[email protected];[email protected]:fromretinaljessicandis.info(unknown[201.197.252.218])byquickmediasolutions.com(Postfix)withESMTPid44D3B3F303for<[email protected]>;Fri,17Mar201701:32:53+0000(UTC)Message-ID:<[email protected]>Date:Fri,17Mar201702:32:58+0100From:"Nina" <[email protected]>
X-Accept-Language: en-us
MIME-Version: 1.0
To: <[email protected]>
Subject: Hi
Content-Type: text/plain;
    charset="us-ascii"
Content-Transfer-Encoding: 7bit

Good luck :)

Sobre la base de la información que se muestra arriba, he llegado a las siguientes conclusiones:

  • La prueba SPF fue aprobada, confirmando que la dirección IP de la que mi servidor de correo recibió el mensaje está autorizada para enviar correos electrónicos para ese dominio.

  • El mensaje no parece contener ningún malware, no tiene JavaScript (ni siquiera es un mensaje de varias partes) ni archivos adjuntos de ningún tipo.

  • El mensaje no contiene ningún enlace o URL.

¿Estoy perdiendo un vector de ataque aquí? ¿Es este un intento de phishing? Si es así, ¿qué es lo que se supone que debo ser engañado para hacer?

    
pregunta Nathan Osman 23.03.2017 - 05:42
fuente

5 respuestas

10

Dicha pregunta simplemente pide opiniones, ya que solo el remitente realmente sabe su propia intención, otras personas solo pueden adivinar.

Supongo que en tu pregunta mantuviste la dirección de correo electrónico real: [email protected] . Es interesante y se puede dividir en dos partes:

  • admin : esta es una palabra común que aparece en la parte superior de la mayoría de las listas de nombres de usuario y se usa con frecuencia para las direcciones de correo electrónico. No solo este nombre de usuario es común, sino que a veces está vinculado a una lista de correo que se dirige a varias personas a la vez (como muchas posibilidades de que se abra una carga maliciosa), esto es solo extra, y personas con privilegios administrativos en lo que sea que estén usando esta es la guinda del pastel.
  • quickmediasolutions.com : este es solo un nombre de dominio de trabajo, son muchas maneras de obtener listas grandes de nombres de dominio de trabajo.

Para mí, pero esta es mi suposición personal, el atacante está enviando el mismo correo electrónico inocuo a admin@<domain> (al menos, espero que otros nombres como webmaster también estén dirigidos) al rango más amplio de nombres de dominio posible. Usar un correo electrónico tan inocuo es la forma más segura de evitar los filtros de correo no deseado para alterar los resultados de cualquier manera.

A partir de ahí, todos los dominios intentados aparecerán en una de estas categorías:

  • Aquellos que rechazaron el correo electrónico con un mensaje SMTP 550 Invalid Recipient , lo más probable es que se queden fuera ya que no se trata de un producto de bajo rendimiento.
  • Aquellos que aceptaron el correo electrónico, obtendrán su boleto para el siguiente paso en la agenda del atacante.

¿Qué contiene este siguiente paso? Aquí nuevamente, solo el atacante (o las personas que lo contratan) pueden saberlo. Tal vez el objetivo sea simplemente constituir una lista y venderla, tal vez el objetivo sea utilizar directamente esta lista y tratar de enviar algunas cargas útiles maliciosas, tal vez ambas ...

De todos modos, la idea es que esos correos electrónicos probablemente no tengan la intención de transportar ninguna carga maliciosa por sí mismos, sino que son solo una sonda de bajo costo para clasificar los objetivos a gran escala.

    
respondido por el WhiteWinterWolf 23.03.2017 - 16:52
fuente
3

Puedo pensar en 2 posibilidades

  1. pesca de direcciones de correo electrónico a spam (pesca en el sentido antiguo)
  2. ataque potencial de phishing, iniciando de forma inocua, seguido de un adjunto malicioso

de cualquier manera, mejor ignorar

    
respondido por el Colin Cassidy 23.03.2017 - 15:02
fuente
3

Una posibilidad es que esto es solo un gancho para tentarte a responder y luego engañarte más adelante en la línea.

Los ingenieros sociales oran por cosas como la curiosidad humana natural.

El uso de un método como este tiene el beneficio adicional de solo las personas que tienen más probabilidades de verse tentadas y, por lo tanto, más propensas a ser estafadas en realidad respondiendo al correo electrónico en primer lugar.

Similar a la metodología de autoselección utilizada por los proveedores de las estafas de Prince en Nigeria.

La metodología de autoselección se describe en este documento de Microsoft de 2012

    
respondido por el TheJulyPlot 23.03.2017 - 17:20
fuente
2

Es difícil de decir ... Podría ser una Nina inocente que solo quería decir buena suerte a una amiga y simplemente usó una dirección incorrecta. O una Nina no tan inocente que por razones privadas quisiera saber más sobre ti (¿eres soltera? ;-)).

Pero lo más probable es que sea un correo de apariencia inocente que intente validar una lista de direcciones de correo e identificar cuáles podrían obtener una respuesta cuando la carga útil no sea tan inocente. O intenta identificar qué tipo de correo podrá pasar a través de SPAM y filtros de malware.

En mi humilde opinión, no deberías responder a ese correo, a menos que puedas adivinar quién es Nina.

    
respondido por el Serge Ballesta 23.03.2017 - 09:55
fuente
2

Probablemente solo un intento de validar las direcciones de correo electrónico. Si no obtienen una devolución, el correo electrónico es válido.

    
respondido por el ventsyv 23.03.2017 - 17:27
fuente

Lea otras preguntas en las etiquetas

Propósito de la validación nonce en el flujo implícito de OpenID Connect Un sistema de licencia seguro