Spammers,

Fake Twitter Email: «You have notifications pending»

He recibido en la carpeta spam (gracias gmail, por si acaso) un mensaje con el asunto «You have notifications pending» procedente presuntamente de twitter. Me ha resultado gracioso el intento de engaño, pero he querido mirar aún así las cabeceras del mensaje. Siempre es bueno echarle un vistazo cuando tienes dudas, aunque en este caso las dudas no existieran porque claramente se trataba de un mensaje maligno.

Vamos a analizar estas cabeceras. Primero, ¿Cómo las veo?

Tratándose de gmail por web, vamos a ver que en la parte derecha del mensaje hay un ‘Responder’ visible con un icono de flecha para abajo, desplegamos y hacemos click en Mostrar original:

Nos sacará una pestañita nueva o ventana, con la información ampliada de las cabeceras. Recordemos que el mensaje decia venir directamente de twitter. Esto es … falso.

Delivered-To: miusuarioxyz@gmail.com
Received: by 10.216.61.130 with SMTP id w2cs476wec;
Sun, 20 Mar 2011 21:03:12 -0700 (PDT)
Received: by 10.42.238.140 with SMTP id ks12mr756826icb.414.1300680191271;
Sun, 20 Mar 2011 21:03:11 -0700 (PDT)
Return-Path: <bin@anditek.com>
Received: from hm2663.locaweb.com.br (hm2663.locaweb.com.br [187.45.193.174])
by mx.google.com with SMTP id hj39si13359961ibb.61.2011.03.20.21.03.09;
Sun, 20 Mar 2011 21:03:11 -0700 (PDT)
Received-SPF: neutral (google.com: 187.45.193.174 is neither permitted nor denied by best guess record for domain of bin@anditek.com) client-ip=187.45.193.174;
Authentication-Results: mx.google.com; spf=neutral (google.com:
187.45.193.174 is neither permitted nor denied by best guess record for domain of bin@anditek.com) smtp.mail=bin@anditek.com
Received: by mx005.twitter.com (Postfix, from userid 1064665268)
id 010D4006B4A; Mon, 21 Mar 2011 01:03:10 +0000 (UTC)
Content-Type: multipart/alternative;
boundary="----------=_1064665268-39975-6239465"
Content-Transfer-Encoding: binary
MIME-Version: 1.0
X-Mailer: MIME-tools 5.427 (Entity 5.427)
From: "Twitter" <twitter-notify-
misuuarioxyz=gmail.com@postmaster.twitter.com>
Subject: You have notifications pending
To: misuuarioxyz@gmail.com
Message-Id: <20110321100103.010D4006B4A@mx005.twitter.com>
Date: Mon, 21 Mar 2011 01:03:10 +0000 (UTC)

 

Lo relevante de las cabeceras lo he marcado en rojo para que la posterior explicación. Al parecer el mensaje dirigido a mi correo viene realmente de la maquina hm2663.locaweb.com.br según lo recibe google.

Algo que me llama la atención y que puede dar algún indicio de que ésta maquina puede estar comprometida es que por web muestra este bonito Internal Server Error. El UID del fichero index.php es mas pequeño que el min_uid. Ummm vaya y sólo nos enseña que es  suPHP 0.6.3.

Algo interesante, aunque nada concluyente, pero vamos al lío que me despisto. Podemos sacar las siguientes conclusiones:

1. Que el origen del mensaje es la maquina de brasil (hm2663.locaweb.com.br [187.45.193.174]) del remitente bin@anditek.com.

2. Que la dirección ha sido spoofeada pretendiéndonos hacer creer que los mensajes vienen legítimamente del postmaster de twitter.

3. Que twitter es un sitio usado frecuentemente por los del spam para sus propósitos, como cualquier otro sitio que esté siendo usado de forma masiva.

No hay contenido relacionado