8FPH20-00267-01 CSIRT advierte de phishing por falso envío de encomienda

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), advierte sobre una campaña de phishing que se está difundiendo a través de un correo electrónico que supuestamente proviene del servicio de envíos DHL.

El atacante busca persuadir a las personas para el uso de un enlace en el cuerpo del correo.

El mensaje, en idioma inglés, advierte a quien lo recibe sobre el eventual arribo de una encomienda para el día de hoy, pero solicita confirmar la dirección.

Al seleccionar el enlace para confirmar la dirección, la persona es dirigida a un sitio falso de DHL, donde se expone al robo de sus credenciales.

Observación

Solicitamos tener en consideración las señales de compromiso en su conjunto.

Indicadores de Compromiso

Urls sitio falso:

hxxps://storage[.]googleapisvcom/dhl-parcel-tracking[.]appspot[.]com/trackingdeliveryorderesupdateshere/DHL[.]html

Sender

humptex2000[@]gmail[.]com

Smtp Host

[124.110.96.72]

Asunto

DHL PARCEL ARRIVAL NOTICE

Otros antecedentes

URL Body SHA-256

1276f0255c07c798b505e039eff1470322eed51ae1d445207eabd9a1b16b6620

Certificado Digital

Fecha Valido                                                 :             17-06-2020

Fecha Termino                                             :             09-09-2020

Emitido                                                         :             Google Trust Services

Datos Alojamiento

IP                                                                    :             172.217.212.128

Número de sistema autónomo (AS)         :             AS 15169

Etiqueta del sistema autónomo                :             Google LLC

País                                                                :             Estados Unidos

Registrador                                                  :             ARIN

Datos del Dominio

Nombre de dominio                                   :             GOOGLEAPISL.]COM

Estado del dominio                                     :             clientDeleteProhibited

clientTransferProhibited

clientUpdateProhibited

serverDeleteProhibited

serverTransferProhibited

serverUpdateProhibited

Creado                                                          :             25-01-2005

Expira                                                            :             25-01-2021

Información del registrador                      :             MarkMonitor Inc.

ID IANA                                                          :             292

Correo electrónico                                     :              [email protected]

Servidores de nombres                              :             NS1.GOOGLE.COM

NS2.GOOGLE.COM

NS3.GOOGLE.COM

NS4.GOOGLE.COM

Recomendaciones

• No abrir correos ni mensajes de dudosa procedencia.
• Desconfiar de los enlaces y archivos en los mensajes o correo.
• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
• Ser escépticos frente ofertas, promociones o premios increíbles que se ofrecen por internet
• Prestar atención en los detalles de los mensajes o redes sociales
• Evaluar el bloqueo preventivo de los indicadores de compromisos.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing.
• Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
• Visualizar los sitios web que se ingresen sean los oficiales.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 8FPH20-00267-01