[lacnog] Scam de Nigeria

Francisco Obispo fobispo en gmail.com
Mie Sep 23 11:11:47 BRT 2009


Estimados Amigos,
Hace unos días, uno de nuestros servidores de correo, fue abusado desde
varios IPs registrados en dos ISPs de Nigeria.

El atacante, accedía al Webmail con un usuario/password legítimo, obtenido
quizás a través de spyware o fuerza bruta, y luego colocaba un robot para
enviar masivamente correos a diferentes destinatarios.

Luego de bloquear a los usuarios afectados, tuvimos que tomar la decisión de
bloquear en nuestros firewalls, a los bloques IP de esos ISP en cuestión,
debido a que utilizaban diferentes direcciones para concretar el ataque y no
una en particular.

En lo particular estoy en desacuerdo de tener que sacrificar todo un Bloque
por uno u otro atacante, así que decidí contactar al responsable de esos
IPs, usando la base de datos Whois, y luego de explicarles el problema y
tratar de determinar el origen del asunto, resulta ser que recibo un correo
de mi servidor de correo diciendo que el destinatario no pudo ser alcanzado
debido a que mi correo era considerado "no solicitado"... :-S

Esto me puso a pensar sobre aquellas los bloqueos a rangos asignados a
LACNIC y AFRINIC en el pasado, y en cómo evitar situaciones como ésta en el
futuro, y me pareció que podía ser un buen tema para discutir en un grupo
como éste, donde quizás podamos discutir mejores prácticas y quizás migremos
a la lista de políticas con alguna propuesta.

Por lo pronto seguiré intentando, y si tengo que llamar por telefono lo
haré. Pero por lo pronto, los IPs continuarán bloqueados.

Saludos.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20090923/0da9a13a/attachment.html>


Más información sobre la lista de distribución LACNOG