Phishing Paypal comunicado a policia.es

Phishing Paypal comunicado a policia.es
5 (100%) 5 votes

Phishing paypal detectado comunicado a Policia.es por Darotech.es

Phishing paypal

Buenos días a todos, esta semana nos han estado entrando varios correos sobre phishing paypal a las cuentas de darotech.es, estos correos vienen con un remitente falso PayPal <service-limition@paypal.com>  los cuales indican que alguien se ha logado con vuestra cuenta de Paypal desde otro dispositivo, pero ojo! no hagáis caso alguno a estos correos, eliminarlos directamente o reportarlos a las autoridades, ya que se trata ni más ni menos de una forma de conseguir TU usuario y contraseña de Paypal, a este engaño se le denomina Phishing, en este caso es un phishing hacia paypal.

Phishing paypal correo

 

Ahora que os he advertido vamos al lío y vamos a investigar un poco el sistema que usan para este phishing paypal, para ello vamos a recopilar los datos del correo:

  • Remitente: <service-limition@paypal.com>  (Más falso que un billete de 7 Euros)
  • Enlace al que te reenvía el mail http://resolved-account.org/  (Como véis no se trata de Paypal)
  • Asunto: Warning!! It seems you login from an unknown device.
  • Cuerpo del mensaje, imágen izquierda.

 

Con estos datos vamos a seguir investigando, lo primero es comprobar desde donde nos llega reálmente el correo:

Primero se comprueban los encabezados del mail en internet y vemos:

Return-path: <alfaweb@samuel.anonimoserver.com>

Received: from samuel.anonimoserver.com ([205.251.143.67]:41415)

Received: from alfaweb by samuel.anonimoserver.com with local (Exim 4.85)
(envelope-from <alfaweb@samuel.anonimoserver.com>)

Con estos datos de seguimiento de correo vemos, que alguien está enviando el correo desde anonimoserver.com un tal Samuel (quizá sea su nombre quizá no)

Bien, resumiendo tenemos varios puntos por los que seguir investigando y son:

  • Dominio resolved-account.org
  • Dominio anonimoserver.com
  • Dominio Alfa-web.com

Empezamos con el primer dominio, haciendo un whois comprobamos que el dominio fue creado hace muy poco tiempo Creation Date: 2015-11-26T09:32:33Z y actualizado hace menos aún, así que se trata de un phishing reciente, Updated Date: 2015-12-02T19:33:35Z, como era de esperar el registrante es privado Registrant ID:1560117307889bf0 Registrant Name:Whois Agent
Registrant Organization:Whois Privacy Protection Service, Inc. y el correo Admin Email: parece sospechosa.

Comprobando más datos del whois del dominio vemos las dns a las que apunta al hosting que son: Name Server:NS1061.WEBSITEWELCOME.COM
Name Server:NS1062.WEBSITEWELCOME.COM, aquí tenemos otra pista para poder localizar al farsante.

Seguimos la pista hacia WEBSITEWELCOME.COM, la web solo indica un mensaje:

For abuse issues related to the websitewelcome.com domain, please email your complaint with any relevant logs to abuse@websitewelcome.com

Si fuera un registrante legal creo que lo más lógico es que vendiera hosting en su propio dominio, ¿que os parece? investigando más encuentro que se esconden a través de proxyes, ahora mismo usan la IP 192.185.93.75 lo que hace más dificil rastrearlos, ya que esa IP ha sido usada en múuuchos dominios, estos son los datos que he podido encontrar sobre este dominio:

Point of Contact
Name IP Admin
Handle IPADM551-ARIN
Company WebsiteWelcome
Street 5005 Mitchelldale
Suite #100
City Houston
State/Province TX
Postal Code 77092
Country US
Registration Date 2011-01-17
Last Updated 2014-11-20
Comments
Phone +1-866-964-2867 (Office)
Email ipadmin@websitewelcome.com

 

No me voy a meter más con el tema de websitewelcome, pero creo que debería ser investigado por las autoridades.

Lo mismo ocurre con el segundo dominio, anonimoserver.com y alfa-web.com están creados a partir de dominios por proxy, lo vemos en el mail del whois anonimoserver.com@domainsbyproxy.com a través del falso registrador Domain Name: ANONIMOSERVER.COM Registrar URL: http://www.wildwestdomains.com.

Por último indicar la IP 205.251.143.67 corresponde a samuel.anonimoserver.com, siguiendo esa IP lleva a un entramado donde no he conseguido poder localizar.

 

Estos delincuentes se esconden muy bien, pero siguiendo las pistas y comprobando con las autoridades en las compañías donde tienen registro se puede saber realmente quien es el que está intentando realizar este tipo de hurto en internet.

Espero os haya gustado y al menos entretenido un rato, ya sabes si no tienes un antivirus ponte en contacto , en darotech.es distribuimos uno de los mejores antivirus valorados por la OCU este año pasado, tampoco quiero dejar atrás la importancia de tener un firewall en vuestras oficinas ya que sin un firewall vuestras empresas están vendidas a miles de ataques de los cuales nunca se les da importancia hasta que pasan y tiran todo tu trabajo en un momento, todos estos sistemas pueden ahorrarte disgustos como este phishing paypal.

colaboracion policia phishing paypal