Ya se que hace mucho que no escribo, la verdad es que tengo muchos post en el tintero, pero por una cosa u otra no me decido a publicarlos.

Pero como siempre me pasa hay un mail, comentario o cosa curiosa que merece la pena publicar.

Hoy, entre los muchos mails de spam me ha llegado este:

La verdad es que no es el primero que me llega, (y supongo que tampoco el último, pero creo que, dado mi nivel de aburrimiento en el trabajo hoy, merece la pena comentarlo.

A primera vista el mail parece enviado por Caja Madrid. Para quien no lo sepa, caja Madrid es una entidad bancaria famosa por su oso verde (muy fácil de localizar por las noches) y que como todas provee de acceso a través de internet a sus clientes.

Lo primero que pienso cuando me llegan estos mails es:

Ummm ¿ Cuando me he abierto yo una cuenta en Caja Madrid ? Lo mismo tengo una cuenta abierta por alguien que me quiere mucho y que me va a regalar una fortuna. O lo mismo he viajado al pasado para abrirme una cuenta y /MODE IRONIA ON dados los altos tipos de interés en las cuentas bancarias /MODE IRONIA OFF ahora soy millonario gracias a los intereses.

Bueno viendo las posibilidades, lo que todos podríamos pensar es que efectivamente ese mail no era para mi.

Pero, analicemos un poco el mail.

«Hace algunos dias en la red de ordenadores de nuestro banco tuvo ocurrencia una desviacion tecnica. Algunos clientes no pudieron usar su cuenta.»

No se yo, pero eso a muy español no suena. Mas que nada por «tuvo ocurrencia una desviacion tecnica», ya se lo que decirle a mi jefe cuando algo no funcione, mira, que se me ha desviao el ordenador.

Segundo punto a tener en cuenta:

«Le rogamos confirmar sus datos para el acceso on-line.
Para eso empuje esta referencia y entre en su cuenta.»

Supongo que todos estamos jartos de escuchar lo de, tu banco nunca te pide los datos, pero bueno. Lo realmente curioso (y que conste que lo he intentao es eso de «empuje esta referencia».

Yo no se vosotros, pero mi powerbook no tiene pantalla táctil, y por mas que le empujo no hace nada, lo he intentado en otros ordenadores de la empresa y tampoco funciona. Supongo que tiene q estar mal el enlace.

Pero bueno.

Hasta aquí lo que podemos deducir del mail tal y como lo muestra un cliente, pero vamos a ver si se puede sacar algo mas.

Para ver los entresijos de un mail, no hay nada mas interesante que ver el codigo fuente.

Vamos a echarle un ojo aqui poco a poco.

Empezaremos con las cabeceras.

Received: from pcp0010388366pcs.santamaria.ca.santam.comcast.net (pcp0010388366pcs.santamaria.ca.santam.comcast.net [69.244.242.105])
by picota.orcasitas.com (orcasitas.com SMTPD Mailer Daemon) with SMTP id A85FCD60
for ; Mon, 21 Nov 2005 03:57:33 -0500 (EST)
Message-ID: <807501c5ee77$69561767$2f872b75@cajamadrid.com>


Como vemos el ordenador que me «entrega este mail» se llama

pcp0010388366pcs.santamaria.ca.santam.comcast.net [69.244.242.105]


Vamos a ver q podemos sacar de ahí.

Del nombre de la maquina podemos deducir que se conecto a través de comcast.net.
Vamos a investigar un poco sobre esa compañia.

Comcast es una empresa q ofrece servicios de conexión, y esta afincada en:

Macarroni:~ luy$ whois comcast.net
Registrant:
Comcast Corporation
1500 Market Street
Philadelphia, PA 19102
US


¿ Caja madrid conectandose desde Philadelphia ? Que raro ¿ verdad ?

Pero bueno, cosas mas raras se han visto.
Aun así, bajo la suposición de que se estuviera intentando cometer un delito, seria un buen punto llamar a esa empresa.

Administrative Contact:
Administrator, Domain Registration ContactMiddleName domregadmin@COMCAST.net
Comcast Corporation
1500 Market, West Tower
Philadelphia, PA 19102
US
215-320-8774 fax: 215-564-0132


Como hemos visto, el mail imita muy bien el «look» de la pagina de caja madrid. Como
puede ser eso?

<LINK rel="stylesheet" type="text/css" href="https://oi.cajamadrid.es/CajaMadrid/oi/css/estiloie.css">


¿ Sera por que carga el CSS directamente desde la pagina de Caja Madrid ?

¿ Ingenioso verdad ? Que mejor forma de falsificar algo que usando el mismo estilo
que usa la pagina original. Para mas «inri» con https.

Incluso el logo esta cogido directamente de caja madrid.

table border="0" cellpadding="0" cellspacing="0" width="239">

<tr>

<td>

<img alt="Caja Madrid" border="0" height="43" src="https://oi.cajamadrid.es/CajaMadrid/oi/imagenes/logocm.gif" vspace="13" width="115" />

</td>

</tr>

</table>

Si miramos mas detenidamente la URL sobre la que tendriamos que «empujar». Notamos una cosa muy rara.

<a href="http://www.cajarmadrid.com">Para eso empuje esta referencia y entre en su cuenta.</a><br><br>

Gracias por ser Cliente de Caja Madrid.<br><br>

La mente humana trabaja mucho mas rápido de lo que parece, y muchas veces creemos estar viendo algo, pero en realidad es simplemente una ilusión.

Si os fijais muy detenidamente en la dirección vais a notar un sutil cambio.

http://www.cajarmadrid.com

Si, seguro que todos lo habéis visto, pone CAJAR en vez de CAJA. Si lo leemos rapido (que es lo que esperan los que han hecho este mail) caeremos en la trampa. Supongo que ahora para ser «ladrón» hay que saber psicología.

Pero bueno, ese detalle nos da pie a seguir investigando.

Como todos sabéis los dominios en internet están registrados con un titular. Esta información es pública, y puede consultarse libremente. Tambien cabe decir, para beneficio de nuestro «ladrón», que no se comprueba su veracidad.


Macarroni:~ luy$ whois cajarmadrid.com

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: CAJARMADRID.COM
Registrar: ONLINE SAS
Whois Server: whois.bookmyname.com
Referral URL: http://www.bookmyname.com
Name Server: NS1.SUMMERINYOUREYES.COM
Name Server: NS2.SUMMERINYOUREYES.COM
Status: ACTIVE
Updated Date: 17-nov-2005
Creation Date: 17-nov-2005
Expiration Date: 17-nov-2006

DOMAIN
Domain Name : cajarmadrid.com (CAJARM2-BMN-DOM)
Registrar : BookMyName
Whois Server : whois.bookmyname.com
Referral URL : https://www.bookmyname.com

Registrant / Admin Contact :
PERSON
Frank YAP (YAP5-BMN-PE)

3104 Hollydale Drive

90039 Los Angeles
UNITED STATES
phone : 213 485-5974
fax :
e-mail : yapfrank@yahoo.com


Billing Contact :
PERSON
Frank YAP (YAP5-BMN-PE)

3104 Hollydale Drive

90039 Los Angeles
UNITED STATES
phone : 213 485-5974
fax :
e-mail : yapfrank@yahoo.com


Technical Contact :
PERSON
Frank YAP (YAP5-BMN-PE)

3104 Hollydale Drive

90039 Los Angeles
UNITED STATES
phone : 213 485-5974
fax :
e-mail : yapfrank@yahoo.com

Umm.. que cantidad de información tenemos aquí.

Si leéis ahí tenéis dirección, teléfono, y nombre del titular de ese dominio. Así también como las fechas en las que se realizo todo el trámite.

Supongo que estos datos, suponiendo que en esa empresa se guarden Logs de las operaciones, serían mas que suficientes para acotar una búsqueda.

Aunque partiendo que muchos de estos datos puedan ser falsos tampoco nos llevarían a ningun sitio. Pero bueno, no esta de más investigarlos.

La empresa (bookmyname.com), que es la que se utilizó para registrar ese dominio, ofrece sus servicios no gratuitamente. Lo que nos hace pensar que la persona que ha registrado ese dominio ha tenido que realizar una transacción económica para ello.

Llegados a este punto, y sin una orden judicial de por medio, no creo que se pueda seguir sacando información.

Aunque lo mas probable es que esa transacción se haya realizado con datos robados de una tarjeta de crédito, y todo el proceso de realización del mail desde un ordenador público.

Así que, salvo que el delincuente en cuestión la haga muy gorda. No creo que levanten tantas «actas» para pillarle.

Supongo, que como añadido a este artículo, solo queda comentar algo que todo el mundo debería tener en mente cuando le llegan este tipo de cosas.

Consejos contra el phishing