Victor Moral ⁂

@victor@taquiones.net

Jo, qué tropa.

Bloghttps://esferas.org/msqlu

777 following 150 followers

0 ★ 0 ↺

Victor Moral ⁂ »
@victor@taquiones.net

Spam correctamente firmado [SENSITIVE CONTENT]Acabo de recibir este correo de spam, muy habitual por otra parte en estos tiempos, que consiste en apremiarme a contestar al mismo tiempo que me "ofrecen" una muestra de lo que me espera. Una foto de una mujer desnuda o semi desnuda por si no he captado del todo el mensaje.

En esta ocasión me ha dejado parado porque he mirado la firma DKIM y es correcta. Es más, parece que es una cuenta del Jet Propulsion Laboratory de la NASA o al menos es el jpl.nasa.gov el que ha enviado y firmado. Tengo que darle un vistazo de nuevo porque las cabeceras de la sesión SMTP son cualquier cosa menos sencillas, como los "designios del señor" (y así nos va).

Parte del programa thunderbird mostrando un correo y su adjunto, una imagen de una mujer con el pecho descubierto y los pezones adornados con algo metálico. Una flecha amarilla indica la validación correcta DKIM del mensaje.

Alt...Parte del programa thunderbird mostrando un correo y su adjunto, una imagen de una mujer con el pecho descubierto y los pezones adornados con algo metálico. Una flecha amarilla indica la validación correcta DKIM del mensaje.

...
0 ★ 0 ↺

Victor Moral ⁂ »
@victor@taquiones.net

Aquí un vistazo a las cabeceras SMTP por si alguien tiene ganas de mirarlo en formato de captura de pantalla, tampoco exageremos.

...
0 ★ 0 ↺

Victor Moral ⁂ »
@victor@taquiones.net

Y, por cierto, la cuenta del muchacho del JPL existe. En la siguiente página se puede ver quién es: https://ethics.jpl.nasa.gov/external/meet_the_team.html

Al final de la misma, no hay enlace directo.

...
0 ★ 0 ↺

Victor Moral ⁂ »
@victor@taquiones.net

Y no te lo pierdas que están todas las cabeceras importantes firmadas. No veo campos de autentificación pero la máquina origen (46100.ip-ptr.tech) parece ser algún tipo de DNS dinámico "ip-ptr.tech" que está registrado en Rusia (dominio .ru). Ni idea de si eso significa algo o no. Sólo sé que alguien se conectó con el servidor de correo del JPL y éste le permitió enviar un mensaje de correo con sus firmas y demás.

...
Mercè boosted

Bogart »
@bogart@xarxa.cloud

@victor
No entiendo mucho del tema pero, qué fuerte. Me llama la atención que se hayan tomado tantas molestias para obtener las firmas y credenciales para luego mandar semejante correo de spam cutre

...
1 ★ 0 ↺

Victor Moral ⁂ »
@victor@taquiones.net

Es más que posible que sean pruebas de concepto que para obtener algún tipo de beneficio directo, por mucho que yo contacte con la madame esa y entre en tratos con ella.

Más bien supongo que lo que están haciendo es allanando el camino a los siguientes correos que sí que serán peligrosos. Ahora mismo ese mensaje pasa todos los filtros iniciales que se han puesto estos años: SPF, DKIM y DMARC. Que luego el contenido no lo haga es otra cosa, pero ya saben desde dónde mandar correos con cierta (o bastante) autoridad.

History

about this site - powered by snac