Este seria el intento de phishing que casi me hizo bajar la guardia, pero por olvidarlo por algunos días lo pude analizar con mas calma después
Hoy les traigo un chisme de seguridad que me llegó al buzón. Recibí un correo supuestamente de la ICANN (la autoridad máxima de dominios a nivel mundial) pidiéndome «validar» mi correo para que mi dominio interlan.ec siguiera en cumplimiento.

A simple vista, el correo se veía muy «oficial», pero aquí les cuento por qué era una trampa y cómo me di cuenta.

El Gancho 🎣

El correo venía de icann-admin@icann.org con el asunto: «Verify Your Email Address for interlan.ec Compliance».

Aunque suena serio, no es esta la razón por la que me hizo dudar sino porque se encontraba en mi dirección de correo usada en mi dominio. No es una dirección que tenga publica por todas partes. (claro, con conocimientos básicos de servidores uno la deduce al instante)

Aunque mete presión con lo de «Cumplimiento» (compliance) es justo esto lo que lo hace sospechoso.

¿Por qué supe que era FALSO?

• ICANN no te escribe directamente: La ICANN nunca contacta a los dueños de dominios para validaciones de rutina. Ese trabajo le toca a tu registrador (donde compraste el dominio).
• El dominio .ec: Mi dominio es territorial (Ecuador). La política de validación que citaban suele aplicar a dominios genéricos (.com, .net), no necesariamente a los territoriales de esta forma.
• Inactividad: Mis dominios no han tenido cambios en 7 años. ¿Por qué me pedirían validar algo justo ahora?
• La prueba técnica (DKIM): Al revisar los encabezados en Thunderbird, me di cuenta de que el correo no tenía firma DKIM. Alguien simplemente «disfrazó» su dirección para que pareciera @icann.org, pero no pudo engañar al servidor.

Lo mismo de siempre

Si bien con el titulo y los encabezados del correo ya uno se puede dar a la idea de lo que tratan. Me tome la molestia de echarle un ojo a las URL pues es lo que suelen aprovechar para hacer el phishing y obtuve una tipo update/Roundcube.html#@interlan.ec (omitido el dominio y mi correo por obvias razones XD). Es mas que obvio que es phishing. Lo mas probable es que al hacer clic lleve a un panel. Tengo curiosidad que estilo tenga la que me llego, pero según la IA, «es una pagina que se ve igualita a la de tu proveedor de dominios» al menos en el login.

Conclusiones

En la actualidad, pocas o ningunas empresas toman la iniciativa de hablar contigo sin que tu hayas hablado con ellos primero. Así que si alguien te escribe pero no empezaste la conversación primero, es segurito phishing. Asi que si tienes duda, ve directo con la pagina de tu empresa o proveedor y revisa allí. Si hay alguna novedad, seguro te sale. sino, no pasa nada.

Borra con seguridad esos mensajes de phishing, aunque si usas servicios de empresa como los de Gmail o Outlook, seguro que nunca veras correos así. Y claro, para todo, ¡activen el 2FA!

Por cierto, seguramente esta entrada tenga un logo glitcheado de la ICANN. No es intencional, aunque hubiese quedado genial por la tematica, pero al buscar el logo me salio asi. le saque una captura y la subí al blog. Por supuesto, dejo la evidencia en esta entrada a continuación. Es que ando con dudas de las imágenes que uso para el blog luego de lo de la NBA