PhiXampp: Phishing Xampp

29sep/091

PhiXampp: Phishing Xampp

El día 21 de Septiembre me llegó un correo electronico hasta el Inbox de mi cuenta de correo de Gmail con el siguiente contenido:

1-mail_cajamadrid_phishing

Sorprendido por ver un phishing tan claro llegando hasta la bandeja de entrada, le dediqué unos minutos.

Lo primero fue ver las cabeceras MIME para buscar alguna pista sobre el origen.

Delivered-To: *******@gmail.com Received: by **.**.**.13 with SMTP id **********; Mon, 21 Sep 2009 03:57:28 -0700 (PDT) Received: by **.**.**.14 with SMTP id o14mr4033523anq.161.1253530647736; Mon, 21 Sep 2009 03:57:27 -0700 (PDT) Return-Path: Received: from *****.***.*******.com

by mx.google.com with ESMTP id ********************************; Mon, 21 Sep 2009 03:57:27 -0700 (PDT) Received-SPF: fail (google.com: domain of office@cajamadrid.es does not designate **.**.**.51 as permitted sender) client-ip=**.**.**.51; Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of office@cajamadrid.es does not designate **.**.**.51 as permitted sender) smtp.mail=office@cajamadrid.es Received: from *****.nl (unknown [**.**.**.28]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by **.**.**.com (Postfix) with ESMTP id ******** for ; Mon, 21 Sep 2009 03:57:25 -0700 (PDT) Received: (**** ***** invoked from network); 21 Sep 2009 12:57:22 +0200 Received: from **********.****.****.***.com (HELO User) (74.62.15.110) by **.**.**.28 with SMTP; 21 Sep 2009 12:57:22 +0200 From: "Caja Madrid" Subject: Notificación de Caja Madrid Date: Mon, 21 Sep 2009 03:57:14 -0700 MIME-Version: 1.0 Content-Type: text/html; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Message-Id: <20090921105725.********@******.**.*******.com> To: undisclosed-recipients:;

Una vez tenemos algunos datos, accedemos a la URL. Y... Sorpresa!! Un XAMPP!! Descargar, instalar y arrancar!!

3-servidor-phishing-xampp-win

4-status-servidor-phishing-xampp-win

Si accedemos a la URL que se incluia en el correo electronico que recibimos, vemos la siguiente Web (Chrome nos avisa de su dudosa reputación).

5-pagina-login-servidor-phishing-xampp-win

El resumen: Cada paso que se da para facilitar el uso de las tecnologías de la información a los usuarios, crea un potencial delincuente.

Publicado por ffranz

Etiquetado con: phishing, spam, xampp Deja un comentario

Comentarios (1) Trackbacks (0) ( suscribirse a los comentarios de esta entrada )

Popotxo
17 octubre, 2009 - 22:34

Received-SPF: fail (google.com: domain of office@cajamadrid.es does not designate **.**.**.51 as permitted sender) client-ip=**.**.**.51;

¿Cómo es posible que con lo de ahí arriba GMail no lo marcara como SPAM?
Buen post

Subscribe to Blog via Email

idioma

IPv6 detector

Still using IPv4? 38.107.179.229

Show stats

Síguenos en twitter

RT @ggdaniel: Nuevo Lab: @botstandar http://t.co/7vGY1mkD vía @iniqua_blog hace 17 horas
New project in our lab: @botstandar http://t.co/7TSibDix 06/02/2012
Nuevo proyecto en nuestro laboratorio: @botstandar http://t.co/Y9Dddh9n 06/02/2012

This server has received 262815 hits from both ipv4 and ipv6.
IPv4	99.6%
IPv6	0.4%

iniqua