CSIRT Panamá Aviso 2018-24-09 Correo sospechoso de Sextorsión
Gravedad: Baja
Fecha de publicación: Sep 24, 2018
Última revisión: Sep 24, 2018
Están circulando entre algunas instituciones correos falsos conocidos como SPAM, con el propósito de intimidar a los usuarios para que realicen un pago al atacante. Estos correos buscan llamar su atención insinuando que tienen videos comprometedores del usuario haciendo uso no debido del equipo.
Bajo ninguna circunstancia se debe responder y mucho menos pagar.
El correo le pide al usuario que para no hacer público el supuesto video, que le haga un pago de unos $250 a una cuenta de BTC (Bitcoin). Los Wallets que tenemos identificados son:
1DxiWwJrJFRrMiwzddx9Gfkjdk2MP5AcjA
1LK8rRhBTekN3Uxh8ib83FfmvMsX6EQnqL
115i2xierq98FX3iWmj7yXog4bwQx3ACVg
Adjunto cuerpo del correo:
Bloqueo de los correos
Realizar el bloqueo de esta campaña es difícil ya que los correos provienen desde “direcciones aleatorias”. Los delincuentes utilizan servidores de servicios SMTP vulnerados y mediante la técnica de email spoofing hacen creer a la víctima que el correo ha sido enviado desde su propia cuenta de correo, buscando que este realmente crea que la misma ha sido comprometida y por lo tanto el engaño es más creíble.
CSIRT Panamá recomienda enviar los encabezados de los correos que se reporten a la cuenta info@cert.pa para su análisis.
Algunas recomendaciones que se pueden tomar para reducir un poco el impacto de esta campaña:
· A nivel de zona de dominio crear registros SPF. Con esto los equipos de seguridad (antispam) pueden saber si la dirección IP de donde vienen los correos realmente pertenece al dominio y así evitar el domain spoofing.
· A nivel de antispam se pueden hacer filtros de contenido con los crypto wallets que ya se tienen identificados y así evitar que nuevos correos que utilicen estos mismo 3 wallets entren a la organización.
1DxiWwJrJFRrMiwzddx9Gfkjdk2MP5AcjA
1LK8rRhBTekN3Uxh8ib83FfmvMsX6EQnqL
115i2xierq98FX3iWmj7yXog4bwQx3ACVg
· Si no es necesario que el IP público del servidor de correos tenga el puerto 25 habilitado (en caso de que el que dé la cara a internet sea un antispam), Se recomienda cerrarlo.
*hacer doble verificación sobre este punto ya que puede afectar la comunicación desde clientes remotos (Outlook de forma remota) *
—
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la
Innovacion Gubernamental
E-Mail: info@cert.pa (para reporte de incidentes)
Phone: +507 520-CERT (2378)
Web: http://www.cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama