¿Este correo electrónico de Facebook es real o phishing?

6

Recibí este correo electrónico de lo que supuestamente es Facebook hoy. Aquí hay una captura de pantalla:

NosabíaqueexistíancréditosocréditosenFacebookyaparentementetengounvalorde$2.30.Parecelegítimoaprimeravista,ladireccióndecorreoelectrónicosepareceatodoslosotroscorreoselectrónicosdeFacebookquerecibí,perotengoalgunasrazonesparacreerqueestoesfalsoyunintentodephishing.

  1. Todoslosenlacesenlapágina,quenohehechoclicporcierto,cuandosedesplazasobreyseobtieneunavistapreviadelenlaceenlaparteinferioresquinaizquierda,nosonURLreales,solodirectorios,creo.losElenlacedelencabezadodeFacebookapuntaasetting?tab=payments.LareseñaSuenlacedesaldoeslamismacosa.Elenlacedelcentrodeaplicacionesessolo%código%.TalvezunintentofallidodephishingoelequipodecorreoelectrónicoEnmalestado,noesalgoqueFacebookharía.

  2. Elestilodecorreoelectrónicodelencabezado,yelfondonosevenadaComoloscorreoslegítimosquerecibodeFacebook.Paraverloquequierodecir,Echeunvistazoaestecorreoelectrónicoquerecibíhaceunpardedías.

Como puede ver, la barra azul superior es una barra azul sólida, a diferencia de la barra degradada en el primer correo electrónico. El fondo es blanco no gris como el primero. Y no es de ancho completo como el primero. Los estilos son similares, pero el primero parece un poco más antiguo que el que obtuve hace un par de días, que tiene un aspecto más plano.

¿Este correo electrónico es legítimo o es una especie de intento de phishing fallido?

Editar: aquí está el código fuente:

Delivered-To: [email protected]
Received: by 10.64.208.67 with SMTP id mc3csp215958iec;
        Mon, 28 Jul 2014 11:18:02 -0700 (PDT)
X-Received: by 10.68.191.194 with SMTP id ha2mr5567506pbc.143.1406571481784;
        Mon, 28 Jul 2014 11:18:01 -0700 (PDT)
Return-Path: <[email protected]>
Received: from mx-out.facebook.com (outmail021.prn2.facebook.com. [66.220.144.148])
        by mx.google.com with ESMTPS id bg5si3360342pdb.468.2014.07.28.11.18.01
        for <[email protected]>
        (version=TLSv1 cipher=ECDHE-RSA-RC4-SHA bits=128/128);
        Mon, 28 Jul 2014 11:18:01 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 66.220.144.148 as permitted sender) client-ip=66.220.144.148;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 66.220.144.148 as permitted sender) [email protected];
       dkim=pass [email protected];
       dmarc=pass (p=REJECT dis=NONE) header.from=facebookmail.com
Received: from facebook.com (f2hk/PLxoaEIT/fBlhT+zd5nnjzhUaEeZHCH61uLXXqwZpYsw2Ru1XBNzDHLgndM 10.103.99.61)
 by facebook.com with Thrift id 8297627c168311e4a87a0002c992c8ec-5c5fb400;
 Mon, 28 Jul 2014 11:18:01 -0700
X-Facebook: from 10.83.48.31 ([MTI3LjAuMC4x]) 
    by async.facebook.com with HTTP (ZuckMail);
Date: Mon, 28 Jul 2014 11:18:01 -0700
Return-Path: [email protected]
To: Milo Gosnell <[email protected]>
From: "Facebook" <[email protected]>
Reply-to: noreply <[email protected]>
Subject: You have $2.30 in your Facebook account
Message-ID: <[email protected]>
X-Priority: 3
X-Mailer: ZuckMail [version 1.00]
Errors-To: [email protected]
X-Facebook-Notify: payment_credits_to_lc_balance; mailid=a409107G5af3188d358eG0G28eG21014dad
X-FACEBOOK-PRIORITY: 0
X-Auto-Response-Suppress: All
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="b1_e97806d65a32ea0f70f0cadf5f5df3e6"
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=facebookmail.com;
    s=s1024-2013-q3; t=1406571481;
    bh=be0apt2xjA3K0VqNAhrb4AJp1qqCmG/w36+vycpp3b0=;
    h=Date:To:From:Subject:MIME-Version:Content-Type;
    b=gvByiMKxQpl/GjtzE2LzNHOd+5W8bsyhfNbUTzr8H6s3HbLYShCJnW1nSWtJCzdpd
     srNFP6R7b7QkCsANFCq0wTLxHqnA0JsEyq6ys9ZviAX3SAAUxm8Gve1+KCpHWPYifX
     Eqa2Jjzo13vN73niZb3KQGxwMFKZOWbM+GTxhV5w=


--b1_e97806d65a32ea0f70f0cadf5f5df3e6
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable


Hi Milo,

Facebook has changed from credits to local currency. You have $2.30 in =
your account. You can review your balance or use this money on apps or =
games in the App Center.

Thanks,

The Facebook Payments Team



=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
This message was sent to [email protected]. If you don't want to receive =
these emails from Facebook in the future, please follow the link below to =
unsubscribe.
https://www.facebook.com/o.php?k=3DAS3FhR4P3qzdS6JW&u=3D100000135460238&mi=
d=3Da409107G5af3188d358eG0G28eG21014dad
Facebook, Inc., Attention: Department 415, PO Box 10005, Palo Alto, CA =
94303


--b1_e97806d65a32ea0f70f0cadf5f5df3e6
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional =
//EN"><html><head><title>Facebook</title><meta http-equiv=3D"Content-Type" =
content=3D"text/html; charset=3Dutf-8" =
/><style>body{background:#e0e1e5;font-family:'Helvetica =
Neue',Helvetica,'Lucida Grande',tahoma,verdana,arial,sans-serif;font-weigh=
t:300}a{color:#333;text-decoration:none;white-space:nowrap =
!important}#email_table{width:100% !important}#email_content{padding:0 =
!important}#profile_pic =
img{border:0}*[class].usercard{background:#fff}@media all and =
(max-device-width: 720px){a{white-space:pre-wrap =
!important}table[bgcolor=3D"#e9eaed"]{background:transparent =
!important}*[id]#body_container{border-bottom:1px solid #e5e5e5 =
!important}table[width=3D"610"],*[id]#body_container,*[id]#cta_container{t=
able-layout:fixed}*[id]#cta_outer{border:none !important}*[id]#header_prof=
ile>table>tbody>tr>td:not(:nth-child(4)){display:none =
!important}*[id]#profile_name{display:none}*[id]#profile_pic{-moz-border-r=
adius:3px !important;-webkit-border-radius:3px =
!important;border-radius:3px !important;border-width:0 =
!important;overflow:hidden}*[id]#header_title{width:auto =
!important}*[id]#header_profile{width:24px}*[class].bio{display:none =
!important}*[id]#main_content{width:100%}*[class].content>div =
a{display:block;overflow:hidden;text-overflow:ellipsis;white-space:nowrap =
!important;width:160px}*[class].ext{padding-right:20px}*[class].image =
a{display:block;margin-left:20px}*[class].cta_btn,*[class].scnd_btn{displa=
y:block}*[id]#email_cta>tbody>tr>td[width=3D"100%"]{display:none}}@media =
all and (device-width: 720px){table[width=3D"610"],*[id]#body_container,*[=
id]#footer_container{width:340px}*[id]#email_filler td{height:12px =
!important}*[class].usercard{width:300px !important}}@media all and =
(max-device-width: =
480px){*[id]#cta_container>table>tbody>tr>td[height=3D"15"]{display:none =
!important}}@media all and (device-width: 320px){table[width=3D"610"],*[id=
]#body_container,*[id]#cta_container{min-width:400px;width:auto}center{pad=
ding:0 10px}*[class].content>div a{width:182px}}</style></head><body =
style=3D"margin:0;padding:0;" dir=3D"ltr"><table cellspacing=3D"0" =
cellpadding=3D"0" id=3D"email_table" =
style=3D"border-collapse:collapse;width:98%;" border=3D"0"><tr><td =
id=3D"email_content" style=3D"font-family:&#039;lucida =
grande&#039;,tahoma,verdana,arial,sans-serif;font-size:12px;padding:0px;ba=
ckground:#e0e1e5;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" border=3D"0" =
style=3D"border-collapse:collapse;width:100%;"><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding:0;border-left:none;border-right:none;border-top:none;border=
-bottom:none;"><table cellspacing=3D"0" cellpadding=3D"0" width=3D"100%" =
style=3D"border-collapse:collapse;"><tr><td =
style=3D"padding:0;width:100%;"><span style=3D"color:#FFFFFF;display:none =
!important;font-size:1px;">Hi Milo, Facebook has changed from credits to =
local currency. You have $2.30 in your account. You can review your =
balance or use this money on apps or games in the App Center . Thanks, The =
Facebook Payments Team</span></td></tr><tr><td =
style=3D"padding:0;width:100%;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" bgcolor=3D"#435E9C" style=3D"border-collapse:collapse;width=
:100%;background:#435E9C;background-image:-webkit-linear-gradient(top, =
#5c77b5, #435e9c);border-color:#0A1F4F;border-style:solid;border-width:0px =
0px 1px 0px;box-shadow:0 1px 1px rgba(0, 0, 0, 0.25);height:47px;" =
id=3D"header"><tr><td style=3D""><center><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"610" height=3D"44" =
style=3D"border-collapse:collapse;"><tr><td align=3D"left" =
id=3D"header_title" style=3D"width:100%;line-height:47px;"><table =
cellspacing=3D"0" cellpadding=3D"0" =
style=3D"border-collapse:collapse;"><td style=3D""><a =
href=3D"/settings?tab=3Dpayments" style=3D"color:#FFFFFF;text-decoration:n=
one;font-weight:bold;font-family:lucida grande,tahoma,verdana,arial,sans-s=
erif;vertical-align:baseline;font-size:20px;letter-spacing:-0.03em;text-al=
ign:left;text-shadow:0 1px 0 rgba(0, 0, 0, 0.24);"> facebook </a></td><td =
width=3D"10" style=3D"width:10px;"></td><td style=3D""><font =
color=3D"white" size=3D"3"><a =
style=3D"color:#ffffff;text-decoration:none;font-family:Helvetica =
Neue,Helvetica,Lucida Grande,tahoma,verdana,arial,sans-serif;font-size:16p=
x;font-weight:bold;text-shadow:0 -1px rgba(34, 59, 115, =
0.85);vertical-align:middle;" href=3D"/settings?tab=3Dpayments"></a></font=
></td></table></td></tr></table></center></td></tr></table></td></tr><tr><=
td style=3D"padding:0;width:100%;"><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"100%" bgcolor=3D"#e0e1e5" id=3D"table_color" =
style=3D"border-collapse:collapse;"><td style=3D""><table =
cellspacing=3D"0" cellpadding=3D"0" width=3D"100%" id=3D"email_filler" =
style=3D"border-collapse:collapse;"><td height=3D"19" =
style=3D"">&nbsp;</td></table><center><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"610" =
style=3D"border-collapse:collapse;"><tr><td align=3D"left" =
id=3D"body_container" style=3D"background-color:#ffffff;border-color:#c1c2=
c4;border-style:solid;display:block;border-width:1px;border-radius:5px;-we=
bkit-border-radius:5px;-moz-border-radius:5px;box-shadow:0 1px 1px rgba(0, =
0, 0, 0.10);overflow:hidden;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" style=3D"border-collapse:collapse;"><td =
style=3D"padding:15px;"><table cellspacing=3D"0" cellpadding=3D"0" =
style=3D"border-collapse:collapse;width:100%;"><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding-bottom:10px;">Hi Milo,</td></tr><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding-top:10px;padding-bottom:10px;">Facebook has changed from =
credits to local currency. You have $2.30 in your account. You can <a =
href=3D"/settings?tab=3Dpayments" =
style=3D"color:#3b5998;text-decoration:none;">review your balance</a> or =
use this money on apps or games in the <a href=3D"/appcenter" =
style=3D"color:#3b5998;text-decoration:none;">App =
Center</a>.</td></tr><tr><td style=3D"font-size:11px;font-family:LucidaGra=
nde,tahoma,verdana,arial,sans-serif;padding-top:10px;">Thanks,<br />The =
Facebook Payments Team</td></tr></table></td></table></td></tr></table></c=
enter></td></table></td></tr><tr><td =
style=3D"padding:0;width:100%;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" style=3D"border-collapse:collapse;" =
id=3D"footer_table"><tr><td style=3D""><center><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"610" =
style=3D"border-collapse:collapse;"><tr><td style=3D""><table =
cellspacing=3D"0" cellpadding=3D"0" width=3D"610" border=3D"0" =
id=3D"footer" style=3D"border-collapse:collapse;"><tr><td =
style=3D"font-size:12px;font-family:Helvetica Neue,Helvetica,Lucida =
Grande,tahoma,verdana,arial,sans-serif;padding:18px 0;border-left:none;bor=
der-right:none;border-top:none;border-bottom:none;color:#6a7180;font-weigh=
t:300;line-height:16px;text-align:center;border:none;">This message was =
sent to <a href=3D"mailto:myEmail&#064;gmail.com" =
style=3D"color:#6a7180;text-decoration:none;font-family:Helvetica =
Neue,Helvetica,Lucida Grande,tahoma,verdana,arial,sans-serif;font-weight:b=
old;">myEmail&#064;gmail.com</a>. If you don&#039;t want to receive these =
emails from Facebook in the future, please <a href=3D"https://www.facebook=
.com/o.php?k=3DAS3FhR4P3qzdS6JW&amp;u=3D100000135460238&amp;mid=3Da409107G=
5af3188d358eG0G28eG21014dad" =
style=3D"color:#6a7180;text-decoration:none;font-family:Helvetica =
Neue,Helvetica,Lucida =
Grande,tahoma,verdana,arial,sans-serif;font-weight:bold;">unsubscribe</a>. =
Facebook, Inc., Attention: Department 415, PO Box 10005, Palo Alto, CA =
94303</td></tr></table></td></tr></table></center></td></tr></table></td><=
/tr></table></td></tr></table><span style=3D"width:100%;"><img =
src=3D"https://www.facebook.com/email_open_log_pic.php?mid=3Da409107G5af31=
88d358eG0G28eG21014dad" style=3D"border:0;width:1px;height:1px;" =
/></span></td></tr></table></body></html>



--b1_e97806d65a32ea0f70f0cadf5f5df3e6--
    
pregunta Milo 28.07.2014 - 22:17
fuente

1 respuesta

7

No lo pondría más allá de Facebook para "desordenar".

En los encabezados, parece que los servidores de Google vieron la solicitud como proveniente de la dirección IP 66.220.144.148, que de hecho forma parte del dominio facebookmail.com . El servidor de Google verificó la firma DKIM en el correo electrónico, en relación con la clave pública que se encuentra en el DNS como un registro TXT para s1024-2013-q3._domainkey.facebookmail.com : Esta es una clave RSA de 1024 bits y, en este momento, la firma aún coincide. Los RSA de 1024 bits aún están más allá de lo tecnológicamente posible (el récord actual de ruptura es de 768 bits), a menos que uno invierta una cantidad significativa de millones de dólares en la construcción de una máquina dedicada, pero sería improbable que dicha inversión se realice para piratear Cuentas de Facebook.

Por lo tanto, parece plausible que el correo electrónico salga realmente de las máquinas asociadas con el dominio facebookmail.com . Está documentado que este dominio realmente pertenece a Facebook, y realmente lo usan para enviar notificaciones a los usuarios. Por ejemplo, esto El artículo establece que:

  

Confusamente, las notificaciones de Facebook provienen del dominio facebookmail.com e incluyen el nombre de un remitente sospechoso. La URL larga y complicada también puede parecer sospechosa, pero esta notificación es legítima de Facebook.

Estoy totalmente de acuerdo con el "confusamente".

Ahora, que el correo electrónico proviene de Facebook no significa que sea legítimo; solo significa que si el correo electrónico es falso, entonces el atacante comprometió alguna máquina dentro de la red interna de Facebook y envió el correo electrónico desde esa máquina.

Como usted notó, el correo electrónico es extraño; no "parece" una notificación normal de Facebook; además, los enlaces en los que se puede hacer clic en el correo electrónico están rotos (ya que son enlaces relativos, sin un protocolo o parte del servidor, no lo enviarán a ninguna parte si hace clic en ellos; si lee el correo electrónico de un correo web, podría enviarte en alguna página en ese servidor de correo web , aquí Gmail.com ...).

Mi evaluación general es que el correo electrónico no es un ataque, sino un error técnico de la gente de Facebook, que estaba probando una notificación de prototipo para algo relacionado con Pagos de juegos de Facebook , y activó el sistema para la cuenta incorrecta (la suya, en este caso).

De todos modos, para todos los correos electrónicos , se debe mantener la regla habitual: HACER. NO. CLICK.

Si el correo electrónico es legítimo, puede iniciar sesión en el sitio correspondiente y verlo por sí mismo. No tiene que seguir un enlace en el que se puede hacer clic desde el propio correo electrónico. La simple regla de no hacer clic nunca en los enlaces de correo electrónico lo mantendrá a salvo de intentos de phishing.

    
respondido por el Tom Leek 29.07.2014 - 15:34
fuente

Lea otras preguntas en las etiquetas