En el trabajo nos hemos encontrado con unas campañas de phishing utilizando nuestra imagen. Despues de una pequeña investigacion he hecho el siguiente “informe” para el resto de la empresa… de todas formas creo conveniente que el resto de gente este informada 
——————- PASTE FROM EMAIL—————–
Version corta:
Como dije anteriormente, lo que esta sucediendo es una campaña para fichar gente que ayude a blanquear dinero.
La metodología es la siguiente:
1.- Una persona (desde ahora victima) recibe un correo con una oferta de trabajo.
2.- Dicha oferta contiene un email en su interior (cv@empleosupport.net, support@empleosupport.net, espana@es-tr.net , info@es-tr.net y info@espempleo.net )
3.- En el momento que establece contacto, se le propone a la victima el trabajo de “agente financiero”. Dicho empleo consiste en recibir cantidades de dinero de “clientes” en su cuenta de banco y reenviarlo utilizando western union o similar a la “sede central” en otro país quedándose antes un porcentaje como “comisión”
4.- La policía cuando sigue el rastro del dinero, llegara a la victima y se la declarara culpable de estafa. Dado que el envío del dinero sera a un destino “falso” se pierde la pista del dinero.
Version larga:
Hemos recibido por diversas fuentes, 3 emails falsos con apariencia de bolsas de empleo (Infojobs y monster por el momento).
Fuente: Candidato avisando del email que ha recibido
———- Mensaje reenviado ———-
De: Balfour TITTLE <bBalfour6TITTLEF@hotmail.com>
Fecha: 1 de marzo de 2010 18:51
Asunto: OFERTA DE EMPLEO
Para:CENSORED
¡Error! Nombre de archivo no especificado.
Lunes 1 de marzo 2010
Juan Martinez te envía una oferta de empleo
Buenas tardes,
En primer lugar permitame que me presente, soy Antonio Lacerdon, responsable de recursos humanos de la compania ORO PLATA, nuestra empresa es una de las mayores companias de almacenamiento y exportacion de oro, plata y metales preciosos, con base en Inglaterra y filiales en todo el Mundo.
Nuestro departamento de seleccion de personal, conoce de su interes en un puesto de trabajo estable, informacion que hemos podido observar en alguno de los portales mas importantes para la busqueda de empleo en Espana.
Somos uno de los principales distribuidores en Espana y Portugal de Oro de inversion, exento de IVA, procedente de Suiza. Compra y venta a particulares y empresas.
Ofrecemos metales preciosos, traidos directamente de la cantera suiza PAMP SA, a precios actuales de mercado.
Comercializamos un amplio surtido de lingotes de oro, plata, platino y paladio desde 2,5 gramos hasta 1000 gramos/1 kg de peso. Tambien disponemos de una gran variedad en monedas como el Krugerrand, la Filarmonica de Viena, el Maple Leaf y el Australian Nugget todas de una onza.
Nuestros clientes son clientes anonimos que desean invertir en metales preciosos porque consideran que es la mejor inversion en estos momentos. Nuestra compania se ocupa de toda la gestion de compra importacion y busqueda de las mejores oportunidades para nuestros clientes.
En estos momentos disponemos de varias vacantes para trabajar en su pais.
Necesitamos con urgencia agentes financieros que puedan realizar transacciones bancarias diarias para nuestros clientes, trabajando como intermediario entre el cliente y el vendedor.
Quisieramos contar con usted en nuestro proceso de seleccion, en este trabajo que podra desempenar a distancia desde cualquier punto del territorio Espanol, pero para poder entrar en el proceso de seleccion inmediato, es imprescindible que usted nos haga llegar lo mas rapidamente posible su CV, actualizado a la direccion de correo electronico siguiente:
cv@empleosupport.net
una vez recibido su CV, uno de nuestros responsables de seleccion se pondra en contacto con usted para informarle de los requisitos y oportunidades que se adapten a su perfil, asi como toda la informacion respecto a nuestra compania.
Nuestras plazas vacantes son limitadas, le rogamos sea usted rapido en el envio de su curriculum.
Atentamente.
Antonio Lacerdon
Responsable del proceso de seleccion de personal
ORO PLATA COMPANY
En cumplimiento de la normativa vigente en materia de Servicios de la Sociedad de la Informacion y de Comercio Electronico y de Proteccion de Datos de Caracter Personal, te informamos que puedes revocar en cualquier momento, de forma sencilla y gratuita, el consentimiento para la recepción de mensajes promocionales de InfoJobs.net, dando de baja tus suscripciones o bien dándote de baja del servicio de Infojobs.net a traves del Menu privado. Por favor no respondas a este e-mail directamente.
INFOJOBS, S.A. CIF: A-62134309. Domicilio social en C/ Numancia 46. 08029 Barcelona.
Your E-mail and More On-the-Go. Get Windows Live Hotmail Free. Sign up now. |
Foro hablando sobre el email con skin de monster
Fuente: http://camyna.com/2010/02/12/oferta-de-trabajo-falsa/
| Hay un correo que llega aparentando ser de Monster y que es una oferta falsa de trabajo.
El correo dice asi:
Buenas tardes,
Nuestro departamento de recursos humanos ha podido averiguar su interes en un puesto de trabajo
estable a traves de uno de los portales mas importantes de internet para busqueda de empleo.
En primer lugar permitame que me presente, soy JUAN CARLOS FERRER, responsable del departamento de
recursos humanos de una gran compania de importacion, almacenamiento y exportacion de oro, plata
y metales preciosos, con base en Inglaterra y filiales en todo el Mundo. Somos uno de los
principales distribuidores en Espana y Portugal de Oro de inversion, exento de IVA,
procedente de Suiza. Compra y venta a particulares y empresas. Ofrecemos metales preciosos,
traidos directamente de la refineria suiza PAMP SA, a precios actuales de mercado. Los precios
de venta son actualizados en sintonia con la cotizacion del Mercado de Londres.
Comercializamos un amplio surtido de lingotes de oro, plata, platino y paladio desde 2,5
gramos hasta 1000 gramos/1 kg de peso. Tambien disponemos de una gran variedad en monedas
como el Krugerrand, la Filarmonica de Viena, el Maple Leaf y el Australian Nugget todas de una onza.
Nuestros clientes son clientes anonimos que desean invertir en metales preciosos porque
consideran que es la mejor inversion en estos momentos. Nuestra compania se ocupa de toda la
gestion de compra importacion y busqueda de las mejores oportunidades para nuestros clientes.
En estos momentos disponemos de varias vacantes en una de las mas grandes companias que se ocupa
de realizar la gestion que le hemos explicado anteriormente.
Tenemos varios puestos de agentes financieros cuyas funciones son realizar transacciones bancarias
diarias para nuestros clientes, trabajando como intermediario entre el cliente y el vendedor.
Quisieramos contar con usted en el proceso de seleccion, este trabajo Ud podra desempenarlo a
distancia desde cualquier punto del territorio Espanol, pero para poder entrar en el proceso de
seleccion inmediatamente, es imprescindible que usted nos haga llegar lo mas rapidamente posible
su CV, actualizado a la direccion de correo electronico siguiente:
info@espempleo.net
al recibir su CV, uno de nuestros responsables de seleccion se pondra
en contacto con usted para informarle de los requisitos y oportunidades que se adapten a su perfil.
Le agradecemos su atencion y esperamos contar con usted en muy breve espacio de tiempo.
JUAN CARLOS FERRER
Responsable del proceso de seleccion de personal
Viene con los logotipos de Monster, e incluso con un pie de correo, con todos los datos aperentemente de ese portal de empleo. Sin embargo, tanto el texto, como la dirección de correo son sospechosos. |
De: Irma GARRIGA <icIrmaP9GARRIGA@hotmail.com>
Fecha: 1 de marzo de 2010 19:23
Asunto: BUSCAMOS PROFESIONALES CON TOTAL DEDICACION
Para:CENSORED
Lunes 1 de marzo 2010
Juan Martinez te envía una oferta de empleo
Buenas tardes,
En primer lugar permitame que me presente, soy Antonio Lacerdon, responsable de recursos humanos de la compania ORO PLATA, nuestra empresa es una de las mayores companias de almacenamiento y exportacion de oro, plata y metales preciosos, con base en Inglaterra y filiales en todo el Mundo.
Nuestro departamento de seleccion de personal, conoce de su interes en un puesto de trabajo estable, informacion que hemos podido observar en alguno de los portales mas importantes para la busqueda de empleo en Espana.
Somos uno de los principales distribuidores en Espana y Portugal de Oro de inversion, exento de IVA, procedente de Suiza. Compra y venta a particulares y empresas.
Ofrecemos metales preciosos, traidos directamente de la cantera suiza PAMP SA, a precios actuales de mercado.
Comercializamos un amplio surtido de lingotes de oro, plata, platino y paladio desde 2,5 gramos hasta 1000 gramos/1 kg de peso. Tambien disponemos de una gran variedad en monedas como el Krugerrand, la Filarmonica de Viena, el Maple Leaf y el Australian Nugget todas de una onza.
Nuestros clientes son clientes anonimos que desean invertir en metales preciosos porque consideran que es la mejor inversion en estos momentos. Nuestra compania se ocupa de toda la gestion de compra importacion y busqueda de las mejores oportunidades para nuestros clientes.
En estos momentos disponemos de varias vacantes para trabajar en su pais.
Necesitamos con urgencia agentes financieros que puedan realizar transacciones bancarias diarias para nuestros clientes, trabajando como intermediario entre el cliente y el vendedor.
Quisieramos contar con usted en nuestro proceso de seleccion, en este trabajo que podra desempenar a distancia desde cualquier punto del territorio Espanol, pero para poder entrar en el proceso de seleccion inmediato, es imprescindible que usted nos haga llegar lo mas rapidamente posible su CV, actualizado a la direccion de correo electronico siguiente:
espana@es-tr.net
una vez recibido su CV, uno de nuestros responsables de seleccion se pondra en contacto con usted para informarle de los requisitos y oportunidades que se adapten a su perfil, asi como toda la informacion respecto a nuestra compania.
Nuestras plazas vacantes son limitadas, le rogamos sea usted rapido en el envio de su curriculum.
Atentamente.
Antonio Lacerdon
Responsable del proceso de seleccion de personal
ORO PLATA COMPANY
En cumplimiento de la normativa vigente en materia de Servicios de la Sociedad de la Informacion y de Comercio Electronico y de Proteccion de Datos de Caracter Personal, te informamos que puedes revocar en cualquier momento, de forma sencilla y gratuita, el consentimiento para la recepción de mensajes promocionales de InfoJobs.net, dando de baja tus suscripciones o bien dándote de baja del servicio de Infojobs.net a traves del Menu privado. Por favor no respondas a este e-mail directamente.
INFOJOBS, S.A. CIF: A-62134309. Domicilio social en C/ Numancia 46. 08029 Barcelona. |
De: stanleyhdisidoroz@hotmail.com [mailto:stanleyhdisidoroz@hotmail.com]
Enviado el: lunes, 01 de marzo de 2010 19:26
Para: CENSORED
Asunto: OFERTA DE EMPLEO
Lunes 1 de marzo 2010
Juan Martinez te envía una oferta de empleo
Buenas tardes,
En primer lugar permitame que me presente, soy Antonio Lacerdon, responsable de recursos humanos de la compania ORO PLATA, nuestra empresa es una de las mayores companias de almacenamiento y exportacion de oro, plata y metales preciosos, con base en Inglaterra y filiales en todo el Mundo.
Nuestro departamento de seleccion de personal, conoce de su interes en un puesto de trabajo estable, informacion que hemos podido observar en alguno de los portales mas importantes para la busqueda de empleo en Espana.
Somos uno de los principales distribuidores en Espana y Portugal de Oro de inversion, exento de IVA, procedente de Suiza. Compra y venta a particulares y empresas.
Ofrecemos metales preciosos, traidos directamente de la cantera suiza PAMP SA, a precios actuales de mercado.
Comercializamos un amplio surtido de lingotes de oro, plata, platino y paladio desde 2,5 gramos hasta 1000 gramos/1 kg de peso. Tambien disponemos de una gran variedad en monedas como el Krugerrand, la Filarmonica de Viena, el Maple Leaf y el Australian Nugget todas de una onza.
Nuestros clientes son clientes anonimos que desean invertir en metales preciosos porque consideran que es la mejor inversion en estos momentos. Nuestra compania se ocupa de toda la gestion de compra importacion y busqueda de las mejores oportunidades para nuestros clientes.
En estos momentos disponemos de varias vacantes para trabajar en su pais.
Necesitamos con urgencia agentes financieros que puedan realizar transacciones bancarias diarias para nuestros clientes, trabajando como intermediario entre el cliente y el vendedor.
Quisieramos contar con usted en nuestro proceso de seleccion, en este trabajo que podra desempenar a distancia desde cualquier punto del territorio Espanol, pero para poder entrar en el proceso de seleccion inmediato, es imprescindible que usted nos haga llegar lo mas rapidamente posible su CV, actualizado a la direccion de correo electronico siguiente:
support@empleosupport.net
una vez recibido su CV, uno de nuestros responsables de seleccion se pondra en contacto con usted para informarle de los requisitos y oportunidades que se adapten a su perfil, asi como toda la informacion respecto a nuestra compania.
Nuestras plazas vacantes son limitadas, le rogamos sea usted rapido en el envio de su curriculum.
Atentamente.
Antonio Lacerdon
Responsable del proceso de seleccion de personal
ORO PLATA COMPANY
En cumplimiento de la normativa vigente en materia de Servicios de la Sociedad de la Informacion y de Comercio Electronico y de Proteccion de Datos de Caracter Personal, te informamos que puedes revocar en cualquier momento, de forma sencilla y gratuita, el consentimiento para la recepción de mensajes promocionales de InfoJobs.net, dando de baja tus suscripciones o bien dándote de baja del servicio de Infojobs.net a traves del Menu privado. Por favor no respondas a este e-mail directamente.
INFOJOBS, S.A. CIF: A-62134309. Domicilio social en C/ Numancia 46. 08029 Barcelona. |
| Cabeceras del email
Return-Path: <stanleyhdisidoroz@hotmail.com>
Received: from IMPmx10.adm.correo (10.20.102.117)
by tems5.backend.correo (8.5.113)
id 4B7CC227006CAD60 for CENSORED; Mon, 01 Mar 2010 19:26:28 +0100
Received: from blu0-omc2-s26.blu0.hotmail.com ([65.55.111.101])
by IMPmx10.adm.correo with BIZ IMP id nuSS1d00Z2BJekH0AuSSK6; Mon,
01 Mar 2010 19:26:27 +0100
Received: from BLU142-W21 ([65.55.111.73]) by blu0-omc2-s26.blu0.hotmail.com
with Microsoft SMTPSVC(6.0.3790.3959); Mon, 01 Mar 2010 10:26:25 -0800
Date: Mon, 1 Mar 2010 20:26:26 +0200
From: Stanley ISIDORO <StanleyHdISIDOROZ@hotmail.com>
Subject: OFERTA DE EMPLEO
X-Originating-IP: [201.37.198.16]
Sender: stanleyhdisidoroz@hotmail.com
To:CENSORED
Message-ID: <BLU142-W21E88A1B063A554C7A3E16A43C0@phx.gbl>
X-UID:
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”Boundary_(ID_R1dIzlzZEdcz0W/vQcOUWA)”
Importance: Normal
X-Bogosity: Unsure, tests=bogofilter, spamicity=0.520000, version=1.2.0
X-OriginalArrivalTime: 01 Mar 2010 18:26:25.0952 (UTC)
FILETIME=[B3E9A200:01CAB96C] |
Apartir de estos emails podemos extraer la siguiente información:
IPs de origen de uno de los emails:
201.37.198.16 (owner: NET Serviços de Comunicação S.A.. – responsible: Grupo de Segurança da Informação Vírtua – country:BR)
Dominios que aparecen en las direcciones de email a las que hay que responder:
Empleosupport.net
Espempleo.net
Es-tr.net
La direccion IP del unico email del que disponemos las cabeceras la podemos encontrar en 4 blacklists de spammers conocidos.
http://www.mxtoolbox.com/SuperTool.aspx?action=blacklist%3a201.37.198.16
Los dominios son una copia levemente modificada de un portal de empleo de Navarra. Dichos dominios han sido registrados en china el dia 25/2/2010 por la misma “persona” (seguramente falsa)
| Domain Name………. empleosupport.net
Creation Date…….. 2010-02-25 12:16:55
Registration Date…. 2010-02-25 12:16:55
Expiry Date………. 2011-02-25 12:16:55
Organisation Name…. zhang hai yun
Organisation Address. chongqingshinanxialu123hao
Organisation Address.
Organisation Address. chongqing
Organisation Address. 021221
Organisation Address. CQ
Organisation Address. CN |
| Domain Name………. es-tr.net
Creation Date…….. 2010-02-25 12:20:46
Registration Date…. 2010-02-25 12:20:46
Expiry Date………. 2011-02-25 12:20:46
Organisation Name…. zhang hai yun
Organisation Address. chongqingshinanxialu123hao
Organisation Address.
Organisation Address. chongqing
Organisation Address. 021221
Organisation Address. CQ
Organisation Address. CN |
Pagina Original
Sitios fraudulentos
Los dominios ofertas-laborales.com y espempleo.net ya no existen, pero atraves de la cache de Google se puede ver aun el contenido.
Resalto las paginas identicas entre dominios.
Estos dominios apuntan todos a una misma direccion IP (112.159.237.58) en la cual hay los siguientes dominios identificados a dia de hoy.
| *.boxingeatingshare.cn
*.cashsmart.cn
*.es-tr.net
*.gamingeurocasino.net
*.play777vegas.net
backstorypalmlaws.cn
boxingeatingshare.cn
gamingeurocasino.net
manicash.net
ns1.boxingeatingshare.cn
ns1.gamingeurocasino.net
ns1.manicash.net
ns1.play777vegas.net
ns2.boxingeatingshare.cn
ns2.gamingeurocasino.net
ns2.manicash.net
ns2.play777vegas.net
ns3.boxingeatingshare.cn
ns3.gamingeurocasino.net
ns3.manicash.net
ns3.play777vegas.net
ns4.boxingeatingshare.cn
ns4.gamingeurocasino.net
ns4.manicash.net
ns4.play777vegas.net
play777vegas.net
www.backstorypalmlaws.cn
www.boxingeatingshare.cn
www.es-tr.net
www.gamingeurocasino.net
www.play777vegas.net |
Se trata de paginas de casinos online que intentan infectar el ordenador de quien juegue, con troyanos bancarios, etc…
Resultados de dicho ejecutable enviado a virustotal
En la pagina del investigador Dancho Danchev hay un analisis de estos dominios (y mas) que forman esta red de estafas.
http://ddanchev.blogspot.com/2010/02/dont-play-poker-on-infected-table-part.html
Mi conclusion es que esta campaña se esta llevando a cabo para conseguir victimas que blanqueen el dinero obtenido a partir de las paginas de casinos online.
