[Seguridad] Phishing

[Jorge F. Messano]

Eduardo,
 
Hmmm... Suena raro que un "phishing" envie datos a una cuenta de correo
trazable... en general no funcionan asi.
Lo mas probable es que el mail con el "phishing" esté siendo enviado desde
la "cuenta de correo" en cuestion... y en ese caso se lo debe tratar de
forma similar a un caso de Spam.
 
Como actuar?
Primero: Atender la denuncia sin dilación, pidiendo que te envien
inmediatamente toda la documentacion del caso.
 
Segundo: Suponiendo que el caso sea como digo en el primer parrafo, es decir
que el "phishing" llega en un mail cuyo dominio es operado por Ustedes, debe
entonces procederse a verificar que "realmente" la direccion de correo sea
de Ustedes. 
Esto se comprueba leyendo el header del mail (del "phishing") y comprobando
que la IP de origen del mail corresponda al dominio informado en la cuenta.
 
A partir de aqui, hay dos respuestas y acciones posibles.
 
Respuesta y Accion 1.
Si coinciden querra decir que el mail efectivamente salio de ese server. En
ese caso debe ubicarse el punto fisico de origen del mensaje a traves de los
medios tradicionales:
1. Datos del usuario dueño de la cuenta de correo (suponiendo que la cuenta
es valida).
2. De que IP se impuso el mensaje (IP que se conecto al SMTP server).
3. Fecha y hora del mensaje.
 
Con estos tres datos basicos puede entenderse quien, desde donde y cuando
envio el mensaje, y analizando los logs del SMTP server pueden tenerse mas
datos, basicamente para entender si es una "simple" accion de "phishing" via
spam, o de una cuenta robada para hacer "phishing" via spam.
 
Si la IP del punto 2 no corresponde al segmento administrado por Ustedes,
podria tratarse de lo segundo, es decir de una direccion de correo robada (o
del usuario conectandose desde otra red)... Arnet en Argentina, por ejemplo,
no permite esto ultimo justamente para evitar este riesgo.
Al fin de cuentas, la causa mas probable es que la raiz del asunto esté en
una PC (donde reside la cuenta en cuestión) infectada con algun virus o
malware haciendo envio del "phishing".
 
Respuesta y Accion 2.
Si no coindicen, querra decir que el mail esta siendo enviado falsificando
la cuenta de correo. 
En ese caso debe trasladarse el reclamo al ISP dueño de la IP en cuestion
para que proceda a analizar y resolver el caso.
Atencion!!! 
La IP en cuestion podria ser del segmento administrado por Ustedes mismos...
lo cual facilita la deteccion del punto de origen físico (via analisis de
logs de conexion) y posterior resolucion del caso.
 
No quiero extenderme mas de lo que ya me extendí.
Espero haber ayudado.
 
Saludos
  Jorge Messano
 
 


  _____  

From: seguridad-bounces en lacnic.net [mailto:seguridad-bounces en lacnic.net] On
Behalf Of ecarozo en antel.com.uy
Sent: Thursday, March 23, 2006 7:18 PM
To: seguridad en lacnic.net
Subject: RE: [Seguridad]Bienvenido a la lista de distribución Seguridad


Ya que estamos, aprovechemos para trabajar:
En nuestra empresa brindamos entre muchas otras cosas servicios de correo
electrónico.
Tenemos una denuncia de un banco de un país vecino, que establece que en una
de las casillas de nuestros clientes, se están recibiendo datos de un
physhing...
¿han tenido un caso de este tipo?¿cómo han actuado?
Saludos cordiales,
Eduardo.
 
Creo que poniendo estos casos se contribuye a formar conocimiento entre los
participantes, además de conocer las distintas soluciones en cada país...
 
Saludos cordiales,
Eduardo.


  _____  

De: seguridad-bounces en lacnic.net en nombre de dcastril en fundacyt.org.ec
Enviado el: Jue 23/03/2006 06:52 p.m.
Para: seguridad en lacnic.net
Asunto: Re: [Seguridad]Bienvenido a la lista de distribución Seguridad



Estimados Colegas 

Creo que un tema importante sería  concienciar la problemática de las
seguridad en redes en nuestra región a traves de una comunidad de seguridad
como ya manifestó un colega. 

Un saludo fraternal desde Ecuador 

Diego Castrillon 

Fundación pata la Ciencia y la Tecnología (FUNDACYT)
Ecuador

Este e-mail y cualquier posible archivo adjunto está dirigido únicamente al
destinatario del mensaje y contiene información que puede ser confidencial.
Si Ud. no es el destinatario correcto por favor notifique al remitente
respondiendo este mensaje y elimine inmediatamente el e-mail y los posibles
archivos adjuntos al mismo de su sistema. Está prohibida cualquier
utilización, difusión o copia de este e-mail por cualquier persona o entidad
que no sean las específicas destinatarias del mensaje. ANTEL no acepta
ninguna responsabilidad con respecto a cualquier comunicación que haya sido
emitida incumpliendo nuestra Política de Seguridad de la Información.
. . . . . . . . .
This e-mail and any attachment is confidential and is intended solely for
the addressee(s). If you are not intended recipient please inform the sender
immediately, answering this e-mail and delete it as well as the attached
files. Any use, circulation or copy of this e-mail by any person or entity
that is not the specific addressee(s) is prohibited. ANTEL is not
responsible for any communication emitted without respecting our Information
Security Policy.


------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: winmail.dat
Type: application/ms-tnef
Size: 9598 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20060323/e5de3763/attachment.bin>