Foro de elhacker.net

He recibido un correo de la angecia tributaria.es curioso porque lo mandan desde:

De: Administracion Tributaria <impuestos@hacienda.gob.es>


pero los enlaces van:

http://comprobantefiscal.southcentralus.cloudapp.azure.com/

Como es sposible que se mande desde hacienda.gob.es? No disponen de mecanismos de seguridad el ministerio para eviatar estos envios como spf o DKIM o DMARC o similares?

¿Estás seguro que lo mandan desde hacienda.gob.es? ¿O es solo la cabecera "From:"?


Saludos

Esto pone:

De: Administracion Tributaria <impuestos@hacienda.gob.es>

(https://i.imgur.com/dNt25DF.png)

¿Qué cliente de correo utilizas huerto123?

Gmail no deja pasar estos correos y van directamente  la carpeta de Spam y marcados como Phishing.


Tal como explica #!drvy , el remitente, el from se puede inventar muy fácilmente. Puedes poner lo que quieras. Básicamente si usas un cliente de correo pones From que quieras, como si fuieres pone root@fbi.gov y podrás enviar el e-mail, pero no llegará a la bandeja de entrada del destinatario, se quedará en correo no deseado.

El campo "De" no es de fiar y no debe ser utilizado nunca como referencia. El correo no está enviado por impuestos@hacienda.gob.es, es culpa de tu proveedor de e-mail de tu cliente de correo electrónico que filtra mal.

Si utilizas Gmail debes mirar las cabeceras, pero no hace falta mirar el código fuente entero del e-mail ("mostrar original") basta con desplegar la flechecita de "Mostrar detalles" y mirar el "Enviado por":

(https://i.imgur.com/JWH7EFu.png)

Debería aparecer "Enviado por: "hacienda.gob.es"

En el caso de correos de Google:



Aviso de seguridad
https://www.agenciatributaria.gob.es/AEAT.sede/Inicio/_pie_/_Aviso_de_seguridad_/_Aviso_de_seguridad_.shtml



(https://www.incibe.es/sites/default/files/contenidos/avisos/20200730_campanha_malware_aeat/20200730_aviso_campanha_malware_aeat.png)

ACTUALIZACIÓN 06/08/2020:

Se ha detectado una nueva campaña que suplanta a la AEAT y que cuyo remitente y asunto varía respecto al aviso emitido el pasado día 30 de julio, tal y como se puede comprobar en la imagen siguiente:

(https://www.incibe.es/sites/default/files/contenidos/avisos/20200730_campanha_malware_aeat/20200806_actualizacion_aeat_malware_cryxos.png)

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/nueva-campana-malware-correo-electronico-suplanta-aeat

(https://i.imgur.com/uWcU1HV.png)

Ésto podría ser una buena solución:

Cuentas verificadas por e-mail
https://blog.elhacker.net/2020/07/gmail-quiere-acabar-con-el-phishing-cuentas-verificadas-por-email.html

Me pasa exactamente lo mismo que a ti, pero en vez de la Agencia Tributaria, lo que recibo son de varias surcursales bancarias (cuando en realidad es scam con todas las letras, no tengo cuenta en ningun banco que me es mencionado, como bbva, rural caja, bankia...)

Curioso que también me adjuntan un pdf, tal como se ve en la captura.

(https://i.ibb.co/dbmmSkZ/screenshot-000.jpg)

No te sabría decir, la cantidad de correos que recibo así, un par al día, la mayoría van a parar a Spam, pero otros se escapan y aparecen en la bandeja de entrada, si supiera como detener este envio masivo de phising que recibo por día... Lo unico que se me ocurre a mi situación, que debe tratarse de que mi correo haya sido pwnedado, no se me ocurre otra explicación de llevar desde Diciembre con correos phising.