Phishing atacando a RedSara y Cl@ve que recibí hoy

vukits 24 mayo 2023 15:28 ✎

⋮

Bonico phishing que recibí hoy. Lo he reportado al CERT de Incibe (017).

No me sé mis DNI de memoria. Comparé todos y ninguno cuadraba. Al final, por los enlaces me di cuenta de que es phishing mirando las URL.

El original tenía los gráficos y todo, era muy convincente, pero lo he marcado como SPAM y mi cliente de correo lo ha mutilado.

sergioam 24 mayo 2023 15:34

⋮

No me sé mis DNI's de memoria

Qué? Cuantos tienes?

✖

vukits 24 mayo 2023 15:45

⋮

no, hombre .

los DNI's de la familia

✖

Aell6782 24 mayo 2023 16:52

⋮

Por lo que veo no soy el único que hace las gestiones para parte de la familia xD

lhacc 24 mayo 2023 15:34

⋮

✖

vukits 24 mayo 2023 15:36

⋮

✖

lhacc 24 mayo 2023 15:40

⋮

✖

vukits 24 mayo 2023 15:40

⋮

✖

lhacc 24 mayo 2023 15:41

⋮

✖

vukits 24 mayo 2023 15:43

⋮

NachoSH 24 mayo 2023 16:23

⋮

El enlace no apuntaba por casualidad a "pouralbacette.com" o algo así? Al poner el ratón en redsara.

Nosotros en la empresa hemos recibido un reporte de phishing de un empleado (a su correo corporativo) exactamente igual que lo que compartes.

✖

vukits 24 mayo 2023 16:33 ✎

⋮

en efecto, algo por el estilo es. estas son las dos url (les he quitado los parámetros de la URL).

https://donodomadrid.com/
https://availablemalaga.com/

Ramgo 24 mayo 2023 16:57

⋮

Cuando pones el ratón encima utilizan varios enlaces raros pero todos redireccionan al dominio "agenciatribtaria.com"

✖

NachoSH 24 mayo 2023 16:58

⋮

En este caso redirecciona a xxx.seg-social.im o algo muy similar

✖

Ramgo 24 mayo 2023 17:02

⋮

Pues ese tiene que ser otra versión con la Seguridad Social. :P

Ramgo 24 mayo 2023 16:52

⋮

Hay varios formatos ese de la captura es uno pero hay otros formatos, yo ya he recibido dos formatos distintos, aunque la url final es la misma yo la tengo denunciada en Google como phishing.

esj 24 mayo 2023 17:44 ✎

⋮

@Josh estoy alucinando, el dominio redsara.es no tiene ninguna política DMARC implementada. Normal que haya phishing!!

correo.gob.es que es desde normalmente se envían los correos con las notificaciones electrónicas, si tiene implementada una política DMARC

v=DMARC1; p=quarantine; rua=mailto:avisos.correo@correo.gob.es; ruf=mailto:avisos.correo@correo.gob.es; fo=1;

Lookup and check results for dehu.redsara.es domain
DMARC Status
Record value:
Not Found

:facepalm:

sergioam 24 mayo 2023 18:05

⋮

Han generado el texto del correo con ChatGPT?

PezDeRedes 24 mayo 2023 18:51 ✎

⋮

Hay que ir con 1100 ojos, madre mía. Y cuidado con las arrobas, que por ahí te la meten también:

https://bandaancha.eu/articulos@malware.mal

Esa URL no viene a bandaancha, sino que toda esa parte el navegador la va a ignorar (o, como mucho, la usará como "usuario" para identificarse ante el servidor) y el domino al que irás de verdad es el que hay tras la arroba. De un vistazo rápido es posible caer en la trampa.

Diréis, bueno, la barra no sirve para los nombres de usuario (/). Ah, pero es que hay una muy parecida: ∕

En Genbeta lo explican bien.

✖

esj 24 mayo 2023 19:15

⋮

Acabo de verlo, menudo desmadre esto

ByMiguel69 25 mayo 2023 11:09

⋮

a mi me mandan cada dos por tres, que mi nube esta llena, y que pague para 50 GB, fijate si son tan subnormales, que no saben como funciona iCloud. y además compruebas la dirección y se les cae el mercado en nada. yo cada vez que me llega, al spam

✖

PezDeRedes 26 mayo 2023 10:55

⋮

Aquí lo tengo yo. No habiendo usado en mi vida nada de Apple es bastante curioso que mi iCloud esté lleno 🤣

✖

ByMiguel69 26 mayo 2023 10:57

⋮

🤣🤣