Por decir algo...
El (Beta)Blog de Agustín Raluy
miércoles, noviembre 24, 2004

Sober.I ¿Ingeniería social inteligente?

Esta misma mañana he recibido (en la sección de Spam de mi cuenta de Yahoo!) un email de esos que huelen a virus a kilómetros de distancia. Concretamente, después de analizarlo, se trataba del W32/Sober.I@mm

Normalmente lo hubiese borrado sin mas, pero en este caso me ha llamado la atención la información que tenía sobre mí. El subject del email decía 'Your mail password ', nada nuevo en el horizonte, pero el cuerpo del mensaje era más interesante:

Your password was changed successfully!

++++++ User-Service: http://www.unizar.es
++++++ MailTo: postmaster@unizar.es


*-*-* Attachment: No Virus found
*-*-* YAHOO- Anti_Virus Service
*-*-* http://www.yahoo.es


Para empezar llama la atención su estilo 'creíble' (entre muchas comillas): dice que viene de la web real de la Universidad de Zaragoza, desde una dirección que podría ser real (postmaster es bastante común). Por otro lado añade una coletilla (falsa) informando de que el fichero (que recordemos ha llegado a una cuenta de Yahoo!) ya ha sido revisado por el antivirus de la compañía y no contiene ningún tipo de código pernicioso: intuyo que es capaz de cambiar su texto dependiendo del servidor de correo al que va dirigido el mensaje.

Pero lo que más me llama la atención es la relación Yahoo! - unizar. Veamos: me ha llegado a la cuenta de Yahoo! un email referido a un supuesto cambio de password relacionado con unizar (Universidad de Zaragoza). Es más, el attachmeent incluso se llama 'unizar.zip'. Estamos mezclando dos dominios distintos en el mismo email: ¿cómo 'sabe' el virus que soy miembro de la comunidad universitaria y que además tengo cuenta en Yahoo!? ¿Ha sido casualidad? ¿Se trata de un virus que simplemente se dedica a probar combinaciones o hay algo más?

Sinceramente lo del virus me preocupa poco, al menos a mí que conozco un poco de estos temas y sé reconocer un virus de estos desde lejos (sobre todo leyendo la cabecera completa del email). Quizá sea más preocupante para los muchos usuarios de la red que todavía son un poco 'inocentes' ante cosas como esta.

Lo que verdaderamente me interesa/preocupa más es que, si realmente no es una casualidad y el virus ha sido capaz de cruzar mis datos yahoo-unizar teniendo en cuenta que simplemente es un virus... ¿qué no pueden hacer grandes corporaciones con el resto de mis datos?. Tal vez estoy equivocado, pero soy de los que están convencidos de sus datos personales son 'de dominio público'...

Update: A lo largo del día me han llegado un par más de emails con el mismo virus que relacionaban mi cuenta de correo con dominos como el extinto teleline.es o el de la aseguradora patriahispana.com, con los no tengo ni he tenido relación (mi papi vende seguros de otra compañía, y seguro que son mejores ;) ). Así que definitivamente se trataba de simple y pura casualidad...

Publicado por Agustín a las 13:20

|

Por decir algo...

El (Beta)Blog de Agustín Raluy