PHISHING EL METODO DE PESCA DE LOS HACKERS.

El PHISHING ES EL FAMOSO METODO DE PESCA QUE LLEGA POR CORREO EMAIL

Departamento de Analisis Criminal OS9

Por : Águila Azul

El Phishing siempre a llegado por Email, donde el correo es falso ejemplo figura en recibidos asi: aviso@carabineros.cl.

Pero en realidad viene asi en el Mensaje Original un ejemplo: correo@phishing.cl

y viene incluido un archivo comprimido ZIP tambien puede ser un PDF , DOCX.

COMO ES EL SUPUESTO MENSAJE ?

Y AQUI EL TIPO DE METODO DE PESCA

ANALIZEMOS EL MENSAJE ORIGINAL

Return-Path: Delivered-To: ejemplo@afectado.cl Received: from S01SERVIDOR.CL by S01SERVIDOR.CL with LMTP id 0Gd9J6dutF5+NQAAQ2cKCA (envelope-from ) for ; Thu, 07 May 2020 15:25:11 -0500 Return-path: Envelope-to: ejemplo@afectado.cl Delivery-date: Thu, 07 May 2020 15:25:11 -0500 Received: from [52.231.164.214] (port=50648 helo=disparos15.minijuss.com) by S01SERVIDOR.CL with esmtp (Exim 4.93) (envelope-from ) id 1jWn4v-00086Y-BV for ejemplo@afectado.cl; Thu, 07 May 2020 15:25:11 -0500 Received: by disparos15.minijuss.com (Postfix, from userid 0) id A542DBEBE; Thu, 7 May 2020 20:09:37 +0000 (UTC) MIME-Version: 1.0 Content-type: text/html; charset=UTF-8 Content-Transfer-Encoding: base64 Subject: =?UTF-8?Q?=E2=9C=85_?=FW: Estimado Se�or (a), Informamos que hoy se ha abierto un proceso criminal 384216989 From: Ministerio de Justicia To: ejemplo@afectado.cl Message-Id: <20200507201244.A542DBEBE@disparos15.minijuss.com> Date: Thu, 7 May 2020 20:09:37 +0000 (UTC) X-Spam-Status: No, score=5.7 X-Spam-Score: 57 X-Spam-Bar: +++++ X-Ham-Report: Spam detection software, running on the system "S01SERVIDOR.CL", has NOT identified this incoming email as spam. The original message has been attached to this so you can view it or label similar future email. If you have any questions, see root\@localhost for details. Content preview: Estimado Señor (a), Informamos que hoy se ha abierto un proceso criminal en su nombre. Le informamos que el mismo se adjunta a ese correo electrónico y que usted tiene el plazo de 48 horas para recu [...] Content analysis details: (5.7 points, 8.0 required) pts rule name description ---- ---------------------- -------------------------------------------------- 0.0 URIBL_BLOCKED ADMINISTRATOR NOTICE: The query to URIBL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information. [URIs: prossper.pl] 0.4 NO_DNS_FOR_FROM DNS: Envelope sender has no MX or A DNS records 0.2 HEADER_FROM_DIFFERENT_DOMAINS From and EnvelopeFrom 2nd level mail domains are different 0.8 DKIM_ADSP_NXDOMAIN No valid author signature and domain not in DNS 0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts 0.0 HTML_FONT_SIZE_HUGE BODY: HTML font size is huge 0.0 HTML_MESSAGE BODY: HTML included in message 1.0 KAM_LAZY_DOMAIN_SECURITY Sending domain does not have any anti-forgery methods 0.5 KAM_NUMSUBJECT Subject ends in numbers excluding current years 0.0 KAM_SHORT Use of a URL Shortener for very short URL 0.6 HTML_MIME_NO_HTML_TAG HTML-only message, but there is no HTML tag 2.0 RDNS_NONE Delivered to internal network by a host with no rDNS X-Spam-

Flag: NO PHA+Jm5ic3A7PC9wPg0KCjxwPjxhIGhyZWY9Imh0dHA6Ly9nZ2JjLmNvbS5ici9zZ2QvaW5jbHVk ZXMveG1sL2luZGV4MS5waHAiPjxpbWcgc3R5bGU9IndpZHRoOiA1NjVweDsgaGVpZ2h0OiAxMTFw eDsiIHNyYz0iaHR0cHM6Ly9iaXQubHkvM2NmMWhncSIgd2lkdGg9IjU2NSIgaGVpZ2h0PSIxMTEi IC8IGZvbnQtc2l6ZTogMTZweDsgZm9udC1zdHlsZTogbm9ybWFsOyBmb250LXdlaWdodDogNDAwOyBs ZXR0ZXItc3BhY2luZzogbm9ybWFsOyBvcnBoYW5zOiAyOyB0ZXh0LWFsaWduOiBsZWZ0OyB0ZXh0 LWluZGVudDogMHB4OyB0ZXh0LXRyYW5zZm9ybTogbm9uZTsgd2lkb3dzOiAyOyB3b3JkLXNwYWNp bmc6IDBweDsgYmFja2dyb3VuZC1jb2xvcjogI2ZmZmZmZjsgZGlzcGxheTogaW5saW5lICEgaW1w MgcXVbm9tYnJlLiBMZSBpbmZvcm1hbW9zIHF1ZSBlbCBtaXNtbyBzZSBhZGp1bnRhIGEgZXNlIGNvcnJl byBlbGVjdHImb2FjdXRlO25pY28geSBxdWU8YnIgLz4gdXN0ZWQgdGllbmUgZWwgcGxhem8gZGUg NDggaG9yYXMgcGFyYSByZWN1cnJpciBlbiBzdSBkZWZlbnNhLjxiciAvPiA8YnIgLz4gPC9zcGFu sgd2lk b3dzOiAyOyB3b3JkLXNwYWNpbmc6IDBweDsgYmFja2dyb3VuZC1jb2xvcjogI2ZmZmZmZjsgZGlz cGxheTogaW5saW5lICEgaW1wb3J0YW50OyBmbG9hdDogbm9uZTsiPjxhIGhyZWY9Imh0dHA6Ly9n PGJyIC8+IDxzcGFuIHN0eWxlPSJmb250LWZhbWlseTogYW1pZW50byBkZWwgc2lzdGVtYSBwcm9jZXNhbCBbBzZWd1aW1p ZW50byB5IGV2YWx1YWNpJm9hY3V0ZTtuLCBhcyZpYWN1dGU7IGNvbW8gbGEgYWNjaSZvYWN1dGU7 biBtYW5jb211bmFkYTwvc3Bhbj48YnIgLz4gPHNwYW4gc3R5bGU9ImZvbnQtZmFtaWx5OiBDYWxp YnJpOyI+ZGUgbGFzIGluc3RpdHVjaW9uZXMgcGFydGljaXBhbnRlcy48YnIgLz4gPGJyIC8+IDxi ciAvPiA8L3NwYW4+PHNwYW4gc3R5bGU9ImNvbG9yOiAjNDc1MTU2OyBmb250LWZhbWlseTogJ09w

UNA VEZ OBTENEMOS LOS DATOS DEL MENSAJE ORIGINAL DE LOS DATOS DE QUIEN LO ENVIO GEOLOCALIZAMOS LA IP PARA OBTENER MAS INFO

País	Korea, Republic of
Ciudad	Busan
Latitud	35.100299835205
Longitud	129.04420471191
ISP	Microsoft Corporation

ACA TENEMOS DATO DE LA IP ES UN VPN

Y MEDIANTE OTRO SISTEMA DE INTELIGENCIA INFORMÁTICA COMENZAMOS EL RASTREO

ISP
IP:	52.231.164.214
Decimal:	887596246
Hostname:	http://52.231.164.214
ASN:	AS8075 Microsoft Corporation
ISP:	Microsoft Corporation
Organization:	Microsoft Azure Cloud (koreasouth)
Type:	Broadband
Assignment:	Static IP
Continent:	Asia
Country:	South Korea
City:	Busanjin-gu
Timezone:	Seoul
Latitude:	35.1796
Longitude:	129.0756

Network
ISP:	Microsoft Corporation
Net Range:	52.224.0.0 - 52.255.255.255
CIDR:	52.224.0.0/11
Name:	MSFT
Handle:	NET-52-224-0-0-1
Parent:	NET-52-0-0-0-0 (NET52)
Net Type:	DS (Direct Assignment)
Ref:	https://whois.arin.net/rest/net/NET-52-224-0-0-1
Organisation:	Microsoft Corporation (MSFT)
OrgRef:	https://whois.arin.net/rest/org/MSFT

Scanned IP/Host : 52.231.164.214

Status	Blacklist	Reason	ResponseTime (ms)
OK	access.redhawk.org	52.231.164.214 is not Listed	6
Listed	all.s5h.net	52.231.164.214 is Listed	231
Listed	b.barracudacentral.org	52.231.164.214 is Listed	106
Listed	bl.emailbasura.org	52.231.164.214 is Listed	6
Listed	bl.spamcannibal.org	52.231.164.214 is Listed	159

Ping to: 52.231.164.214 (52.231.164.214)

PING 52.231.164.214 (52.231.164.214) 56(84) bytes of data.    
--- 52.231.164.214 ping statistics ---  4 packets transmitted, 0 received, 100% packet loss, time 3005ms

Summary

Result is negative

We did not find IP address 52.231.164.214 on or within a day of 2020-05-05.

RUTAS QUE USA ESTA IP:

traceroute to 52.231.164.214 (52.231.164.214), 15 hops max, 60 byte packets
1 ovzhost49.vps.reg.ru (89.108.69.63) 0.036 ms
2 *
3 150-192-212-88.host.exepto.ru (88.212.192.150) 0.183 ms
4 rt-47-msk-ix.rostelecom.ru (195.208.208.238) 8.150 ms
5 *
6 ae25-0.icr01.fra21.ntwk.msn.net (104.44.238.197) 32.852 ms
7 *
8 be-6-0.ibr02.zrh20.ntwk.msn.net (104.44.18.86) 260.062 ms
9 be-4-0.ibr02.gva20.ntwk.msn.net (104.44.18.53) 280.452 ms
10 be-13-0.ibr02.mrs20.ntwk.msn.net (104.44.19.223) 278.492 ms
11 be-14-0.ibr02.sg2.ntwk.msn.net (104.44.17.64) 266.400 ms
12 be-1-0.ibr02.sg3.ntwk.msn.net (104.44.7.18) 285.937 ms
13 be-10-0.ibr02.hkg20.ntwk.msn.net (104.44.18.237) 285.748 ms
14 be-13-0.ibr02.sel20.ntwk.msn.net (104.44.28.28) 266.163 ms
15 be-1-0.ibr02.sel21.ntwk.msn.net (104.44.16.170) 266.288 ms

Root-Server Output for: 52.231.164.214 (52.231.164.214)

; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 8182
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;52.231.164.214.			IN	ANY

;; AUTHORITY SECTION:
.			86400	IN	SOA	a.root-servers.net. nstld.verisign-grs.com. 2020050800 1800 900 604800 86400

;; Query time: 30 msec
;; SERVER: 199.7.83.42#53(199.7.83.42)
;; WHEN: Fri May 08 09:31:26 CEST 2020
;; MSG SIZE  rcvd: 118

MTR (My TraceRoute) to: 52.231.164.214

Start: Fri May  8 09:31:29 2020
HOST:  AHA-Server-1                            Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 172.31.1.1                                  0.0%    10    0.2   0.2   0.1   0.3   0.0
  2.|-- 11479.your-cloud.host                       0.0%    10    0.1   0.2   0.1   0.3   0.0
  3.|-- leaf18.cloud1.nbg1.hetzner.com              0.0%    10   11.7  18.9  11.7  29.5   6.3
  4.|-- static.85-10-243-53.clients.your-server.de  0.0%    10    0.8   3.5   0.8  25.6   7.8
  5.|-- core12.nbg1.hetzner.com                     0.0%    10   16.4   2.2   0.5  16.4   5.0
  6.|-- core5.fra.hetzner.com                       0.0%    10    3.9   8.1   3.6  32.5   9.1
  7.|-- hetzner-gw.microsoft.de                     0.0%    10    4.4   5.1   3.8  12.9   2.7
  8.|-- ae22-0.icr02.fra21.ntwk.msn.net             0.0%    10    4.6   4.5   4.3   4.7   0.0
  9.|-- be-122-0.ibr02.fra21.ntwk.msn.net           0.0%    10  251.8 251.9 251.7 252.1   0.0
 10.|-- be-6-0.ibr02.zrh20.ntwk.msn.net             0.0%    10  235.8 235.8 235.7 236.1   0.0
 11.|-- be-3-0.ibr02.gva20.ntwk.msn.net             0.0%    10  254.6 254.6 254.3 255.3   0.0
 12.|-- be-13-0.ibr02.mrs20.ntwk.msn.net            0.0%    10  251.8 252.0 251.8 252.1   0.0
 13.|-- be-17-0.ibr02.sin30.ntwk.msn.net            0.0%    10  254.2 254.4 254.2 254.6   0.0
 14.|-- 104.44.19.82                                0.0%    10  234.6 234.9 234.6 235.0   0.0
 15.|-- be-10-0.ibr02.hkg20.ntwk.msn.net            0.0%    10  253.2 253.0 252.8 253.3   0.0
 16.|-- be-1-0.ibr02.hkg31.ntwk.msn.net             0.0%    10  254.4 254.5 254.3 254.6   0.0
 17.|-- be-14-0.ibr02.sel21.ntwk.msn.net            0.0%    10  235.2 235.3 235.2 235.4   0.0
 18.|-- 104.44.28.247                               0.0%    10  252.1 252.1 251.9 252.3   0.0
 19.|-- ae122-0.icr02.pus20.ntwk.msn.net            0.0%    10  253.9 255.9 253.6 271.4   5.5
 20.|-- ???                                        100.0    10    0.0   0.0   0.0   0.0   0.0

52.231.164.214 Numeric Convert

IP	52.231.164.214
Hexadecimal	34.E7.A4.D6
Long	887596246
Unsigned Long	887596246
Octal	6471722326
Binary	110100111001111010010011010110

Y ASI TENEMOS MAS DATOS DEL ATACANTE

ALEA IACTA EST LA SUERTE ESTA HECHADA , LA SUERTE ESTA LANZADA :

Mediante un sistema antiguo del tiempo de los romanos e incluso antes en los tiempos de Alejandro Magno.

Se emplea esta frase para aludir a una decisión extrema que se asume, después de haber meditado bastante.

ALEA IACTA EST PROGRAMA ? nop señores es inteligencia busqueda de información como estos weones les gusta asustar a la gente es que uno ocupa la tecnica militar y de antaño para dar con el responsable.

Despues de Haber Lanzado los dados: RESULTADOS 167.250.54.111

167.250.54.111 - - [08/May/2020:23:42:55 -0500] "GET / DATOS DEL VERDADERO ATACANTE
(Windows NT 10.0; Win64; x64) TIPO DE NAVEGADOR ) Chrome/81.0.4044.129 Safari/537.36"

ISP
IP:	167.250.54.111
Decimal:	2818193007
Hostname:	http://host.167.250.54.111.dynamic.pacificonet.cl
ASN:	AS27901 Pacifico Cable SPA.
ISP:	Pacifico Cable SPA.
Organization:	Pacifico Cable SPA
Type:	Broadband
Assignment:	Static IP
Continent:	America
Country:	Chile
City:	Santiago
Timezone:	Santiago
Latitude:	-33.4513
Longitude:	-70.6653

Network
ISP:	Pacifico Cable SPA.
Net Range:	167.250.0.0 - 167.250.255.255
CIDR:	167.250.0.0/16
Name:	LACNIC-ERX-167-250-0-0
Handle:	NET-167-250-0-0-1
Parent:	NET-167-0-0-0-0 (NET167)
Net Type:	LX (Transferred to LACNIC)
Ref:	https://whois.arin.net/rest/net/NET-167-250-0-0-1
Organisation:	Latin American and Caribbean IP address Regional Registry (LACNIC)
OrgRef:	https://whois.arin.net/rest/org/LACNIC

Ya con estos datos señores sabemos en este caso que el atacante es chileno despues viene la tarea mas dificil rastrear la direccion MAC del Dispositivo.

(Windows NT 10.0; Win64; x64)

Tambien cabe mencionar que toda esta operacion la hacen con un correo falso o correo temporal y tambien con el KALI LINUX en si estos weones operan con vpn pero donde cometen su gran error es que creen que jamas seran pillado. entonces ahi esta el problema.

EL TEMA DE LA EXTORSION POR BITCOIN UN CLASICO DE LA FALSEDAD Y TECNICA MUY TRILLADA DE ALGUNOS HACKERS

este es el tipico dato de extorsion por BITCOIN ojo a continuacion el recuadro:

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

¡Hola!

Soy un hacker que tiene acceso a su sistema operativo.
También tengo pleno acceso a su cuenta.

Llevo observándole desde hace unos meses.
Su equipo se infectó con un malware cuando visitó un sitio web para adultos.

Se lo explicaré mejor por si no está familiarizado con este tema.
El troyano me da acceso y control total sobre el ordenador o cualquier otro dispositivo.
Esto significa que puedo ver todo lo que aparece en su pantalla y encender la cámara y el micrófono sin que usted se de cuenta.

También tengo acceso a todos sus contactos y mensajes.

¿Por qué su antivirus no detecta el malware?
Respuesta: mi malware dirige el controlador y actualizo sus firmas cada 4 horas para que el antivirus se mantenga en silencio.

He grabado un vídeo en el que sale usted satisfaciéndose en la parte izquierda de la pantalla y en la parte derecha se puede ver el vídeo que está mirando.
Con un solo clic puedo enviar este vídeo a todos sus contactos de correo electrónico y de las redes sociales.
También puedo publicar el acceso en todos sus mensajes de correos electrónico y de messenger.

Si quiere evitarlo,
transfiera 1000 $ a mi dirección bitcoin (si no sabe cómo hacerlo, escriba en Google: "Comprar bitcoins").

Mi dirección bitcoin (monedero de bitcoin) es: 1GKmNtr6oBgUub7DTNycMfEKtktmaUWydD

Una vez que haya recibido el pago, borraré el vídeo y no volverá a saber nada de mí.
Le doy 50 horas (más de 2 días) para pagar.
Cuando lea esta carta recibiré un aviso y el temporizador se pondrá en marcha.

Presentar una denuncia no tiene sentido porque este correo electrónico no puede ser rastreado, al igual que mi dirección bitcoin.
Yo no cometo errores.

Si descubro que ha compartido este mensaje con alguien más, el vídeo se distribuirá inmediatamente.

¡Un saludo!

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Policia de Investigaciones de Chile PDI

Despues viene la peor parte la cual es que a estos delincuentes informaticos llamesele HACKER , PIRATA INFORMÁTICO , ES INVESTIGADO POR UN TIEMPO Y ASI TRAS UNA RECOPILACION DE DATOS ES QUE SE LE PUEDE ARRESTAR POR PARTE DE LA POLICIA DE INVESTIGACIONES PDI O LA OS9 DE ANALISIS CRIMINAL DE CARABINEROS DE CHILE.

ASI QUE JOVEN ANTES DE COMETER ESTE TIPO DE DELITO PIENSELO BIEN POR SI LO PILLAN LE TRAERA CONSECUENCIAS.

" El Avance Tecnologíco esta Constantemente Evolucionando Cada vez mas." La Tecnologia es el Futuro
"Black Server Chile ofrece Servicios de Almacenamiento , Desarrollo de Software , Ciberseguridad , Certificación Comodo Rsa , Certificación Cpanel Inc"