Relacionada: old.meneame.net/story/error-hacienda-deja-descubierto-datos-cuentas-ba

La fiscalía de oficio debería demandarlos por usurpación de funciones publicas.

#2 si los hackers son mínimamente competentes, lo mas probable es que los servidores estén en Rusia o China, así que poco se va a poder hacer.

El 19 de este mes empezaron ya a llegar y los programas de correo se los suelen tragar porque tienen el SPF de @fnmt.es con ~all.

El SPF sirve para saber si un remite es falso y en producción se debe poner -all, Tenerlo con ~all es de novato total Esa configuración es para pruebas pero no bloquea nada.

Yo he reportado hoy mismo al incibe un intento muy burdo de suplantar a EL PAIS con una noticia falsa que anima a invertir en no sé qué mierdas, y que venía como anuncio en una página de un diario deportivo...

https:// online-nine.com/Cc6LhBWZ?external_id={click_id}&utm_content={campaign_item_id}&utm_campaign={campaign_name}&utm_term={site}&external_id=GiCymwYQQXsmNSDR_fvRpdCjsdGITYvREwNIVUgkTwpzmyD4wF4oi_nb4s6N0bmqAQ&utm_content=3834271016&utm_campaign=autopista.es%2Ff1-+2+ds&utm_term=grupoprisa-as&tblci=GiCymwYQQXsmNSDR_fvRpdCjsdGITYvREwNIVUgkTwpzmyD4wF4oi_nb4s6N0bmqAQ#tblciGiCymwYQQXsmNSDR_fvRpdCjsdGITYvREwNIVUgkTwpzmyD4wF4oi_nb4s6N0bmqAQ

No hagáis ni caso, que os veo venir!

¡ja! si la FNMT quisiera que no me caducase el certificao sí que me preocuparía, lo normal es no decirte ni pío y luego remitirte a un manual de 89 páginas sobre cómo cambiar la fecha de tu ordenador y a ver si no explota y aún así... date por joío

#7 en solitario, no. Indicando que es un fraude, ayuda a los inexpertos a ver qué pinta tiene un fraude. Pero si algún @admin cree que se debe quitar, que me lo quite, Es tarde para que lo edite.

Esto que avisan aquí es continuo.
A varios de mis compañeros les llegó ayer. Tenemos un grupo donde vos avisanos de estas cosas. Y a veces nos reímos

#5 en serio?

Y a veces envían con un dkim auténtico de un servidor de reenvío

La otra forma tampoco bloquea de por si, depende del servidor de destino que le haga caso.

En realidad tampoco es que "bloqueé"el spf, sino solo dice si viene de servidores "legitimados". Con dmarc ya le dices si servidor de destino qué debería hacer en caso de que le llegue un correo que no cumpla con spf/dkim, pero el de destino hasta lo que quiera

#11 Si, en serio. Por supuesto que el que tiene que bloquear es el servidor que recibe pero normalmente no se suele bloquear un soft fail.
No sé si llevan DKIM, me informaron unos colegas hace unos días y en ese momento daba soft fail

Tambien relacionada

www.meneame.net/story/clientes-escorts-drogados-robados-ya-son-5-deten

Viene como adjunto un .rar, típico de la FNMT, eso me da confianza

#5 y #11
Estoy tratando de aprender a leer cabeceras.
Tenéis algún manual/enlace que me podáis recomendar?
Gracias

#4 Brasil....

#4 Si se dieran la misma prisa en bloquear esos hosts que los de las páginas de torrents o furbo pirata el impacto de estos malwares sería mínimo.

#8 Harían bien en preocuparse más porque los certificados ssl de las webs estatales fuesen seguros. La última vez que hice una operación en letras del tesoro tuve que desactivar la comprobación de seguridad de autofirma porque la puñetera web no tiene certificados de confianza. Manda cojones

Sabiendo lo mal hechas y mal mantenidas que están casi todas las webs públicas, es normal que la gente pique en estos ataques porque lo que te esperas es que esté mal

Esta gente triunfará de verdad el día en el que domine la gramática y la sintaxis.

#5 casi me lo trago entero , venia de @fnmt.es como si seria legitimo , sospechaba porque no me coincidia los tiempos de caducidad del certificado y lo abri en un sandbox .... pero ostias , como institución ( muy imprescindible para todo lo mercanti fiscal y laboral) que tengas mal configurado el servidor de correo es como mínimo llamativo.
PD. yo colgaria de los pulgares al informatico que hace el mantenimiento a ese servidor

#12 De todos modos aunque tengan spf o dkim no valido, es tu servidor de correo de entrada el que tiene que decidir qué hace con esos mensajes .

Es tu propio servidor el que debe decir "anda, si spf sospechoso no lo dejo entrar".

#15 algunos
www.cloudflare.com/es-es/learning/email-security/dmarc-dkim-spf/

training.powerdmarc.com/

me ha dado un susto de muerte porque ayer justo estuve instalandome certificados para comprar letras del tesoro.

#19 Con la AI está al caer...

La gente debería extremar cuidados y sospechar de todo correo que adjunta un archivo y no digamos si es de un organismo oficial o de un banco o de un remitente desconocido y aunque sea conocido hay que extremar las precauciones.

#18 Si, cierto, todo lo de la FNMT es bastante rústico y el diseño de la web parece de hace 1.000 años. Es muy mejorable.

#19 Antes de leer cualquier cosa, si como dicen #14 un e-mail de FNMT te adjunta un archivo .rar ya directamente lo borras.

Yo hace poco escribí al INCIBE justo por esto. Quería sacar la tarjeta sanitaria europea y lo hice rápido desde el móvil en una web que tenía logo del gobierno y salía en Google en las primeras búsquedas. Al contrario de otra veces, no me pidieron clave ni nada y cuando acabó la petición de algunos datos pensé que saldría lo de Clave. Y nada, me llegó un email raro diciendo que mi petición estaba en curso. Pero no sé. Bueno INCIBE me dijo que el enlace era seguro pero después entre en otra web y si pude sacar el certificado con la clave pin como requisito. No se.

Android…. Nada más que decir

#28 el timo que hacian con la tarjeta sanitaria europea, no sé si siguen haciéndolo, es que posicionaban una web, te pedían los datos y te cobraban X euros. La tarjeta te llegaba pero pagabas esos euros a quien, con tus datos que habías dejado, luego te la solicitaba.

El timo no era pagar y que no te llegue, era que pagabas para hacer una gestión de algo que es gratis y puedes hacer tú.

#20 Bueno, el correo "dice ser" de la "fnmt.es", pero si abres las cabeceras se ve que no es de ahi. Pero para eso hay que saber un poco...

#21 Seguro, pero no todos tenemos servidor propio así que mejor dejarlo claro de salida por si el admin del tuyo deja pasar los soft fails

#14 #27 Cualquier página del Estado es vergonzosa. Hace algunos años en la la FNMT tenías que quitar la protección https para poder sacar el certificado digital. Y estamos hablando de una herramienta que te puede suplantar la identidad en internet.

Sin ir más lejos, a dia de hoy en la web de tesoro.es tienes que instalar a mano un montón de certificados para poder operar en la página sin que te salga a pantalla un warning de "sitio no seguro"...

Simplemente vergonzoso. Riete tu de Renfe.

CC #18 te he leido tarde

#33 #29
Busqué a ver qué decía el artículo meneado sobre Android... y vi que tenía la etiqueta (Tag) "Android" entre un montón de otras etiquetas como "iOS", "Apple", "Windows", etc ...

Así que restringiéndonos al artículo en sí no me pareció que hubiese nada específico de Android.

Sin embargo, el artículo habla de

"un stealer, conocido como ‘GuLoader/Agent Tesla’ "


Y al buscar información sobre eso, el primero GuLoader vi que afecta principalmente a Windows y a Android, y el segundo, "Agent Tesla" al parecer se enfoca más en Android.
Así que por lo que yo he visto sí que parece ser enfocado a Android (no descarto que pueda pasar algo en Windows, pero en iOS me pareció que no).

#15 Hay herramientas que ayudan a interpretar todas las cabeceras, incluido el orden de los servidores por donde ha circulado un mensaje (para detectar de forma más visual si un correo o varios podrían tratar de suplantarte, por ejemplo) pero ahora no las recuerdo.
Y otras muchas para analizar las cabeceras spf (es bastante sencillo) , dkim (más o menos también lo es, pero en algunos casos se complica).

Yo suelo hacerlo directamente sobre el fuente del correo, pero a veces es un poco enrevesado.

Seguro que es fácil de encontrar en google

#31 no seas tan cruel con el chaval, a veces hasta los que sabemos no rebuscamos entre las cabeceras de los mails que creemos a primera vista legítimos. Lo que sí que nunca nadie debería hacer es ejecutar cosas que no haya solicitado.

#38 No quería ofender, dios me libre. Lo que quería decir es que para mirar las cabeceras hay que tener algún tipo de conocimiento técnico, que no es algo sencillo que pueda hacer o entender un usuario normal de correo. Siento la confusión.