Durante estos días se está recibiendo una oleada de supuestos correos que vienen desde la tienda Apple. Este correo tiene el aspecto siguiente, en el que se puede leer que hay una cancelación de la orden de pedido con un enlace a ver la ordenes de compra.
Figura 1: Mail de phishing
Si se hace clic en ese enlace, automáticamente se redirige a un sitio externo que, a día de hoy, está reconocido como un lugar de phishing, tal y como puede verse en la imagen siguiente.
Figura 2: Advertencia de sitio con phishing
Una vez allí dentro, el objetivo es robar credenciales de acceso a la tienda Apple de los usuarios, tal y como ya sucedió durante el mes de septiembre. El aspecto que tiene el kit de Phishing de Apple que se está utilizando en esta campaña es bastante fiel a la tienda oficial.
Figura 3: Aspecto del sitio de Phishing que se está usando
En este ejemplo concreto, el sitio web ya está quitado, y han tomado el relevo los chicos canadienses del spam de la Viagra, tal.
Figura 4: Venta de VIAGRA
Por supuesto, el correo del spam no viene de los servidores marcados por Apple para enviar el correo que, tal y como puede consultarse en el registro SPF del DNS de Apple.com son:
apple.com TEXT "v=spf1 ip4:17.0.0.0/8 ~all"
Sin embargo, como puede verse, la política de Apple no es restrictiva de tipo hardfail [-all] sino que es una política softfail [~all]. Esto quiere decir que el correo no debe ser rechazado directamente y que se deben mirar filtros heurísticos para saber si es Spam o no.Si Apple hubiera marcado la opción -all entonces este correo nunca hubiera llegado, porque el servidor que está enviando el e-mailing es uni****.hsphere.cc, que cuenta con un bonito panel de control web en el que, tal vez, y solo tal vez, tenga alguna vulnerabilidad crítica no parcheada. Al no ser así, que entre o no el correo dependerá de lo "paranoico" que sean los filtros en tu servidor de correo electrónico.
No hay comentarios:
Publicar un comentario