Denuncia Oficial BHH784, se inició una investigación contra su empresa

Mantenimiento informático de calidad Horas ilimitadas Visitas mensuales Sin permanencia Siempre el mismo técnico Puesta a punto inicial

Denuncia Oficial BHH784, se inició una investigación contra su empresa

«Denuncia Oficial BHH784, se inició una investigación contra su empresa», con este correo electrónico iniciamos el día. Antes de continuar por si queréis ahorraros el texto siguiente, os dire que es más falso que un duro de madera.
Si leemos el mensaje, evidentemente esta muy bien redactado ya no son aquellos mensajes en «indio» que costaba entender, y que evidenciaban que ningún ser humano seria capaz de escribir de aquella forma. Se trataba de los típicos hacker, generalmente rusia o países del este, que utilizaban sistemas de traducción automática para realizar el mensaje.
En aquel momento esto era muy fácil de detectar o directamente nadie sabia lo que querían decirle, porque estaban este español tipo «indio», en ingles o en idioma original.
Pero, y aquí viene el problema, este tipo de virus ganan mucho dinero, pero mucho… y eso hace que tengan más recursos y las técnicas vayan mejorando, en este caso el mensaje es perfectamente legible, con una redacción muy profesional y por su puesto con todos los logos y distintivos de un organismo oficial.

¿Cómo sabemos que este mensaje es falso?

En primer, la administración no actúa así, existe la plataforma 060, para notificaciones electrónicas con la administración publica, así que lo normal es que tengamos un correo indicando que tenemos un mensaje en la plataforma 060 a donde tendremos que acceder mediante certificado digital y firmar la recogida del mensaje. Este funcionamiento desde hace unos años es obligatorio en España para empresas por lo que un mensaje de este tipo de forma directa, ya nos indica que hay algo raro.

Por otro lado, al responder al mensaje, no encontramos que el remitente no tiene el dominio de la inspeccion de trabajo (http://www.mitramiss.gob.es/), sino un dominio itss.app

Con esto sería suficiente para ver que es un mensaje falso, pero si seguimos vemos que el mensaje está en HTML, para que así el «pirata», puede incluir el logo del ministerio, pero al ver el código fuente del mensaje vemos lo siguiente:

El «pirata», ha colocado en un servidor web, el logo que está utilizando para difundir el mensaje, Aquí vemos más cosas ha usado una vulnerabilidad de un WordPress, para instalar el logo, y muy posiblemente sea este servidor el que está haciendo los envíos de correo electrónico.

De esta forma el pirata no se le puede localizar directamente. Se puede hacer un seguimiento de los logs del sistema remoto pero esto nos llevaría seguramente a algún ordenador público de algún sitio de centro Europa.

¿Donde esta el peligro?

En este punto sabemos que es un mensaje falso, pero ¿dónde está el peligro?, pues como casi siempre en el fichero adjunto, se trata de un xls, un fichero de Excel, el cual incluye unas macros que nos instalará un bonito «troyano«, el cual lo más probable es que quede residente en el sistema. Generalmente descargará el virus o quedará inactivo hasta que el «pirata» de la orden de ataque, y lo más probable o al menos es lo que más estamos viendo en los últimos meses, sea un sistema de encriptación de ficheros o rasomware, para luego pedir un rescate millonario, como fue el caso de del ataque informático que sufrio EDP

¿Como evitarlo este tipo de mensajes?

En principio es muy difícil o prácticamente evitar estos mensajes, en los sistemas de mantenimiento informático, incluimos antivirus, que minimizar el riesgo, pero no son 100% seguros, por otro lado incluimos «listas negras» y reglas en el firewall de la empresa para que no entren los mensajes conocidos. Y lamentablemente no podemos establecer más restricciones porque harían inoperativas a las empresas, cosas como impedir que se envíen adjuntos en los mensajes o cosas similares.

En este caso solo nos queda sentido comun, y añadir una serie de reglas o ideas principales:

  • Las notificaciones oficiales son enviadas a través del 060
  • Ningún ministerio, contacta por correo electrónico a los usuarios de las empresas
  • Nunca, se envían documentación tipo Excel o Word, y mucho menos un ejecutable como fichero adjunto
  • Ante la duda ponte en contacto con el servicio de manteniendo informático de tu empresa

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

A %d blogueros les gusta esto: