Es un dia normal y de repente, ves en tu correo un mensaje similar a este:
Aunque una de las primeras reacciones sea el ir corriendo a por la cartera, para que el atacante supuestamente cumpla su palabra y borre todos los datos que ha obtenido sobre ti. Ten paciencia y sigue leyendo este articulo para aprender como resolver este tipo de situaciones.
No pongas tus datos en cualquier sitio.
Puede ser un punto muy obvio, ya que, supuestamente, sabemos que hay paginas y sitios en los que no pondríamos nuestros datos, pero, incluso la pagina mas segura, puede ser victima de un ataque, a si que para evitar este tipo de mensajes, es recomendable cambiar las contraseñas después de algún tiempo usándolas.
También, para saber si nuestros datos han sido obtenidos de alguna pagina, se puede mirar esta pagina https://haveibeenpwned.com en la que, poniendo tu correo electrónico, nos dice si nuestros datos han sido expuestos en alguna pagina.
En el caso de ser demasiado tarde, y que te haya llegado este mensaje, tenemos que informarnos de que tipo de ataque es, para así poder resolverlo, utilizando el método mas preciso posible, y si es posible, saber desde donde o quien nos ha atacado.
informarse del ataque.
Buscando un poco por encima (solo hemos pegado la primera frase del mensaje en el buscador), se ha observado que, este ataque puede ser motivo de una estafa, producida por un phishing, o un ataque producido por un malware.
Estafa mediante phishing
En este caso se habla sobre una de las ultimas estafas de phishing por correo electrónico, en la cual, atacante afirma que ha descifrado tu correo y dispositivo hace unos meses, también nos cuenta que la victima ingreso la contraseña en uno de los sitios que visito, y la intercepto.
Para confirmar al usuario que tienen su contraseña, te aparece la contraseña en el mensaje en varios apartados.
El objetivo del atacante, no es otro que el de engañar al usuario, ya sea utilizando su miedo o sus pocos conocimientos en el tema, para que pague cierta cantidad de Bitcoins a una billetera BTC, para que, supuestamente, borre todos los datos de la victima.
El atacante, también da un máximo de 48 horas para que la victima le pague, o si no difundirá a todos tus contactos “Turbios asuntos de tu vida secreta”, bloqueando también tu dispositivo con algún tipo de rasonware.
En este caso, aunque pueda parecer aterrador, ya que es un mensaje el cual se nos muestra que ha sido enviado desde nuestra cuenta, y nuestra contraseña aparece varias veces, la solución seria cambiar la contraseña, tanto la del correo atacado, como todas aquellas que usaban la misma.
Este tipo de ataques, han surgido después de recientes infracciones en Adobe y LinkedIn. Si la cuenta que es atacada ha sido utilizada en esas dos paginas. Es porque fuimos victimas del phishing.
También, es importante señalar que, aunque el mensaje no quiere decir que el PC este infectado, es posible que también tenga algún malware relacionado, por eso es necesario escanearlo con el antivirus y borrar todas aquellas amenazas que nos muestre
informarse del atacante.
Ahora que estamos a salvo del atacante, podemos informarnos de algunos datos del atacante, pudiendo saber su dirección IP y también si hay algunas pobres victimas que han caído en la trampa
¿Desde donde se ha enviado?
Para conocer un poco a la persona que nos ha enviado este maravilloso correo, vamos a ver los metadatos del correo, así conocer la IP desde donde se ha mandado, (siempre que no este camuflando su IP utilizando un programa como anon surf), y una vez obtenida, saber su ubicación.
Para obtener la ip del atacante, simplemente tenemos que ir a nuestro correo, y en el caso de utilizar un servidor como Gmail, tenemos que elegir la opción de “Mensaje Original”. En el apartado SPF, podremos ver la IP desde donde a sido mandado el mensaje.
Como podemos ver en el mensaje, tenemos la dirección IP de donde se ha enviado. Si ponemos esta IP en shodan.io, podemos ver que la dirección proviene de una ciudad de Sudáfrica, Vanderbijlpark para ser mas exactos, y, también, podemos obtener mas datos acerca de esa dirección.
Es importante decir, que la ip que aparece en shodan es únicamente el servidor de correo, esto quiere decir, que, es muy posible que el atacante no este en esa dirección, también, que no todas las direcciones IP aparecen en shodan, solo aquellas que están corriendo en algún servidor, teniendo que usar, en algún geolocalizador que hay en Internet.
También, ya que a sido tan amable de dejarnos su cartera de Bitcoin, vamos a ver si hay alguna persona, la cual, ha caído en la estafa.
Para ello, nos meteremos en la pagina de blockchain y pondremos la cartera que nos ha facilitado:
Como podemos ver en la imagen, en tan solo un día y medio, ha conseguido una cantidad de 1.34 bitcoins, teniendo un valor actual de 7578,61€, aumentando significativamente por cada día que pasa.
Como os hemos podido demostrar, no basta con tener una contraseña compleja, sino también, mirar si esa contraseña a sido expuesta después de un tiempo, y no confiar de cualquier mensaje que nos pueda llegar al correo.