Emails Falsos provenientes de Dropbox

En los últimos días, hemos sido informados sobre una campaña de envío de correos electrónicos fraudulentos que solicitan información confidencial, incluyendo nombres de usuario y contraseñas de cuentas de correo electrónico, bajo la apariencia de comunicaciones aparentemente legítimas de Dropbox.

Nos gustaría recordarte que Dropbox nunca te pedirá la contraseña de tu correo para poder hacer uso de sus servicios.

Además, te recomendamos encarecidamente que, en caso de recibir correos electrónicos sospechosos que soliciten información confidencial, los ignores por completo y los marques como “SPAM” o “correo electrónico no deseado” en tu bandeja de entrada.

Ejemplo de correo electrónico fraudulento de Dropbox:

////////////////////////////////////////////////////////////////////////////////////////////////////////////

Usuario:

Para garantizar la confidencialidad y seguridad de este documento, se ha protegido con contraseña.

El acceso al documento PDF está restringido a la dirección de correo electrónico usuario@dominio.com

Cuando se les solicite, introduzca su dirección de correo electrónico como nombre de usuario y la contraseña.

Leer el documento

¡Saludos!

El equipo de Dropbox

////////////////////////////////////////////////////////////////////////////////////////////////////////////

[Afectación parcial] – 12/01/2024 – Recepción masiva de correo SPAM

En las últimas horas, debido a una carga de trabajo inusualmente alta en un corto periodo de tiempo, algunos correos electrónicos que normalmente se clasifican como SPAM no han podido ser detenidos por nuestros sistemas.

Estamos tomando medidas para solucionar este problema y garantizar que nuestros estándares habituales de filtrado de correo no deseado se restablezcan pronto.

Entendemos la importancia de mantener un entorno de correo electrónico seguro y libre de mensajes no deseados. Por este motivo, queremos asegurarles que este incidente es una prioridad para nuestro equipo técnico.

Este problema afecta a un subconjunto de correos electrónicos y no a todos los usuarios.

Si ha experimentado la recepción de correos no deseados en su bandeja de entrada durante el día de hoy, le instamos a marcarlos como SPAM manualmente y agradecemos su comprensión mientras trabajamos en una solución permanente.

Indicamos el texto de uno de los correos recibidos:

Hola, mi pervertido amigo:

Iré directo al grano.
En realidad, nos conocemos desde hace tiempo, al menos yo a ti.
Puedes llamarme Gran hermano o el Ojo que todo lo ve.
Soy un jáquer, y hace unos meses conseguí acceder a tu dispositivo, incluidos tu historial de navegación y la webcam.
He grabado algunos vídeos tuyos masturbándote con películas “para adultos” muy controvertidas.
Dudo que quieras que tu familia, compañeros de trabajo y toda la lista de contactos de tu correo (correo@correos.es) vean imágenes tuyas dándote placer,
sobre todo teniendo en cuenta lo pervertido que es tu “género” favorito.
También publicaré los vídeos en sitios porno, se harán virales y será físicamente imposible eliminarlos de Internet.

¿Cómo lo he hecho?
Porque cuidas muy poco la seguridad en Internet y he podido instalar fácilmente un troyano en tu disco duro.
Gracias a eso, he podido acceder a todos los datos de tu dispositivo y controlarlo a distancia.
Al infectar un dispositivo, pude acceder a todos los demás.

Mi programa espía está integrado en los controladores y actualiza su firma cada pocas horas, por lo que ningún antivirus ni cortafuegos puede detectarlo.
Ahora quiero proponerte un trato: una pequeña cantidad de dinero a cambio de tu antigua vida sin preocupaciones.

Transfiere $750 USD a mi monedero bitcoin:———————————–

En cuanto reciba la confirmación del pago, borraré todos tus vídeos comprometidos, eliminaré el virus de todos tus dispositivos y no volverás a saber nada de mí.
Es un precio muy pequeño a cambio de no destruir tu reputación a los ojos de toda esa gente que piensa que eres un hombre decente (por lo que he podido leer en tus mensajes).
Puedes considerarme una especie de coach de la vida que quiere que empieces a apreciar lo que tienes.

Tienes 48 horas. Recibiré una notificación en cuanto abras este correo electrónico y, desde ese mismo momento, empezará la cuenta atrás.
Si nunca has tratado con criptomonedas, es muy fácil. Basta con escribir “intercambio de criptomonedas” en un motor de búsqueda y listo.

Esto es lo que no debes hacer:
– No respondas a mi correo electrónico. Lo he enviado desde una cuenta de correo electrónico temporal.
– No llames a la policía. Recuerda que tengo acceso a todos tus dispositivos, y en cuanto me percate de dicha actividad, procederé automáticamente a publicar todos los vídeos.
– No intentes reinstalar el sistema ni restaurar el dispositivo.
En primer lugar, ya tengo los vídeos, y en segundo lugar, como ya te he dicho,
tengo acceso remoto a todos tus dispositivos y en cuanto me entere de tus intenciones, ya sabes lo que pasará.

Recuerda que las direcciones de los monederos de criptomonedas son anónimas, así que no podrás rastrearme.

Resumiendo, vamos a resolver esta situación de una forma beneficiosa para los dos.
Siempre cumplo mi palabra, a menos que alguien intente engañarme.

Por último, un pequeño consejo para el futuro: empieza a tomarte más en serio tu seguridad en Internet.
Cambia tus contraseñas cada poco tiempo y configura la autenticación multifactor en todas tus cuentas.

Mis mejores deseos.

[Afectación parcial] – 21/12/2023– Instalación certificados renovados para *.hachete.com

Durante el día de hoy (21/12/2023), hemos actualizado los certificados SSL correspondientes a *.hachete.com en todas nuestras máquinas, con lo que es posible que al conectarse a nuestros paneles Interworx o al descargar el correo se muestre un error diciendo que el certificado almacenado en el dispositivo ya no es válido y que hay que instalar el nuevo.

POR FAVOR, ACEPTE LOS NUEVOS CERTIFICADOS. NO HAY PELIGRO ALGUNO Y SON 100% SEGUROS.

Esta actualización es necesaria y obligatoria para mantener la seguridad de las conexiones a nuestros servidores.

ESTE CAMBIO NO AFECTA A TODOS LOS SERVIDORES NI A TODAS LAS CONEXIONES: SÓLO A LAS QUE USAN SSL.

Si no ha tenido ningún problema con su email/web, este problema no le afecta. Puede tranquilamente ignorar este aviso.

Si el problema le surge con la conexión de su teléfono o cliente de correo, debe seguir las instrucciones para configurar el programa con el que lee el mail, ya que está mal configurado. Las instrucciones están disponibles en esta página: http://www.configuraremail.com

Si sigue teniendo dificultades, no dude en ponerse en contacto con nosotros al mail soporte@hachete.com o bien por teléfono: 968 248335.

Gracias por confiar en el equipo de Hacheté

[Afectación parcial] -18/08/2023 Problema temporal con correos de Hotmail a nivel global – Acción no requerida

Durante el día de hoy (18/08/2023) hemos detectado un problema temporal que está afectando a la entrega de correos electrónicos desde cuentas de Hotmail a múltiples servidores, incluidos los nuestros. Este inconveniente está siendo causado por una situación técnica con los sistemas de Hotmail a nivel mundial y no está relacionado con los servicios de Hacheté.

Detalles del Problema:

Se ha identificado un inconveniente relacionado con el SPF (Sender Policy Framework) de hotmail.com. El SPF es una medida de seguridad que ayuda a prevenir el correo no deseado o el correo falso. En este caso, el SPF de hotmail.com ha experimentado un problema técnico que está afectando la correcta clasificación de los correos electrónicos provenientes de Hotmail en los servidores de correo a nivel global. Esto podría llevar a que algunos correos electrónicos de Hotmail sean rebotados o descartados.

Acción Requerida:

En este caso, queremos aclarar que no es necesario realizar ninguna acción específica. Este problema es responsabilidad de los sistemas de Microsoft y su equipo técnico está trabajando en resolverlo lo antes posible.

[Afectación parcial] – 20/11/2022 – Instalación certificados renovados para *.hachete.com

Durante el día de hoy (20/11/2022), hemos actualizado los certificados SSL correspondientes a *.hachete.com en todas nuestras máquinas, con lo que es posible que al conectarse a nuestros paneles Interworx o al descargar el correo se muestre un error diciendo que el certificado almacenado en el dispositivo ya no es válido y que hay que instalar el nuevo.

POR FAVOR, ACEPTE LOS NUEVOS CERTIFICADOS. NO HAY PELIGRO ALGUNO Y SON 100% SEGUROS.

Esta actualización es necesaria y obligatoria para mantener la seguridad de las conexiones a nuestros servidores.

ESTE CAMBIO NO AFECTA A TODOS LOS SERVIDORES NI A TODAS LAS CONEXIONES: SÓLO A LAS QUE USAN SSL.

Si no ha tenido ningún problema con su email/web, este problema no le afecta. Puede tranquilamente ignorar este aviso.

Si el problema le surge con la conexión de su teléfono o cliente de correo, debe seguir las instrucciones para configurar el programa con el que lee el mail, ya que está mal configurado. Las instrucciones están disponibles en esta página: http://www.configuraremail.com

Si sigue teniendo dificultades, no dude en ponerse en contacto con nosotros al mail soporte@hachete.com o bien por teléfono: 968 248335.

Gracias por confiar en el equipo de Hacheté

19/01/2022 – Emails falsos que provienen de destinatarios conocidos

Emails falsos que provienen de destinatarios conocidos
Desde Hacheté queremos informar de un aviso URGENTE e IMPORTANTE. Se ha identificado una campaña de phishing con correos electrónicos de remitentes conocidos que incluye el siguiente cuerpo de mensaje:

Buenos días -nombre destinatario- | Hola -nombre destinatario-

Adjunto a este correo le envío los Excel documento: NOMBRE.xls

-Nombre y correo del remitente-

El documento XLS está enlazado a un sitio externo.
Rogamos encarecidamente NO PINCHAR NUNCA EN EL ENLACE.

En cualquier caso, siempre recomendamos tener instalada una solución antiransomware como puede ser Malwarebytes Antimalware, que se puede descargar gratuitamente desde su página oficial: https://es.malwarebytes.com/

Ante la duda de si un email es un virus o no, LO MEJOR ES NO ABRIRLO.

A continuación, le indicamos más información sobre la técnica empleada:

Recepción de SPAM de un contacto conocido

El Spam no es algo que vaya a desaparecer del correo electrónico, pero por suerte los filtros antispam cada vez funcionan mejor y solucionan parte del problema, pero no todo.

Para evitar los filtros antispam, los spammers pueden utilizar varias técnicas, siendo una de ellas el email spoofing, que consiste en suplantar la identidad de la persona que envía un email.

Qué es el email spoofing

El email spoofing, o correo de suplantación de identidad, es una técnica empleada en los ataques de spam y de phishing para hacerle pensar a un usuario que un mensaje proviene de una persona o entidad que conocen o en la que confían.

En los ataques de spoofing, el remitente falsifica los encabezados del correo electrónico para que el software cliente muestre la dirección de remitente fraudulenta, que la mayoría de los usuarios acepta tal como la ven y a menos que inspeccionen cuidadosamente el encabezado, los usuarios solamente verán el remitente falso en el mensaje.

Si es un nombre que reconocen, es más probable que confíen en este. De esta manera, hacen clic en enlaces malintencionados, abren archivos adjuntos que contienen malware, envían datos delicados y hasta hacen transferencias de dinero de la empresa.

Ejemplo de correo suplantando identidad

En este ejemplo se ve que Nosotros ha recibido un correo de Remitente conocido y en un primer vistazo parece normal. Aparecen los datos de una empresa conocida que le escribe de vez en cuando y en el campo De se aprecia el nombre y correo electrónico del remitente.
Cuando Nosotros visita el enlace posiblemente será infectado con el mismo u otro troyano diferente.
En este caso podemos ver que en el campo De aparece un correo electrónico al final que no es otra cosa que la dirección real del remitente: servidor@spoofing.com
Además posiblemente el propietario de ese buzón ni sepa que están usando su correo electrónico para el envío de SPAM. Quizás lo note cuando empiece a recibir correos de errores en la entrega y vea que está de remitente pero no lo ha enviado él.
Otras veces está más oculto y hay que ver las cabeceras internas del correo con la información de los servidores de envío y chequeos.

Qué puedo hacer
Una vez revisadas las cabeceras sabremos si Nosotros ha sido atacado con un troyano para el envío de correo o no.
En caso afirmativo hay que realizar las siguientes acciones:
• Revisar el equipo o equipos en busca de virus.
• Cambiar la contraseña de la cuenta de correo afectada.

En el caso que no lo esté enviando directamente, entonces lo está enviando desde otra cuenta externa.

De dónde sale la información de remitentes y destinatarios
La información ha podido ser obtenida de cualquier fuente, tanto de un equipo del remitente como de cualquier otro equipo externo que se haya relacionado con el remitente. En cualquier caso, se produce la apertura de algún troyano que realiza el ataque u obtención de información y lo envía a servidores externos.
El troyano obtiene una lista de direcciones de correo electrónico a través de los diferentes buzones que tenga configurados y/o la libreta de direcciones, selecciona una al azar como remitente (email spoofing) y ataca al resto con spam.
Como hemos comentado también puede ser que el troyano obtenga la información y la envíe a servidores externos donde dichos servidores web, previamente infectados, se encargan de realizar los envíos masivos de SPAM.

Otras veces las obtienen de redes sociales, páginas web, foros, portales de profesionales (por ejemplo, LinkedIn), etc.

Cómo protegerse contra el email spoofing
Incluso habiendo implementado medidas de seguridad para correo electrónico algunos mensajes malintencionados de correo electrónico logran llegar a las bandejas de entrada de los usuarios. Tanto si usted es un empleado responsable como si simplemente usa su correo electrónico personal en el trabajo, existen diversos pasos a seguir para evitar convertirse en víctima de fraude de correo electrónico:

• Nunca haga clic en enlaces para acceder a una web en la que se le pida autenticación. Escriba siempre (con el teclado) el dominio oficial en su navegador y haga su autenticación directamente en la web.
• Los pasos para ver los encabezados de correo electrónico varían según el cliente de correo electrónico, así que lo primero que hay que hacer es consultar el procedimiento para ver los encabezados de correo electrónico de su software de bandeja de entrada. Después, abra los encabezados de correo electrónico y busque la sección “Recibidos-SPF” de los encabezados y busque una respuesta PASS (aprobado) o FAIL (fallido).
• Sea suspicaz ante un correo electrónico que supuestamente provenga de una fuente oficial y que le pidan datos.
• Evite abrir archivos adjuntos de remitentes sospechosos o desconocidos, o visitar los enlaces si no está claro en el correo.

[Afectación parcial] Envío de correo a Hotmail/Outlook desde el rango IP 84.124.0.0/13

Desde el pasado domingo 25 de abril, Microsoft está bloqueando todos los correos que provienen del rango de IPs 84.124.0.0/13, con lo que los envíos a esta plataforma desde nuestros servidores no están funcionando correctamente aunque cumplimos todos los requisitos exigidos por Hotmail y Outlook.com

Tenemos abierto una incidencia con Microsoft y el equipo de Hotmail/Outlook para que nos eliminen de la lista de bloqueados porque nuestro rango de IPs no está enviando ningún tipo de spam y nuestra reputación está limpia.

En cuanto haya alguna actualización por parte de Microsoft, os tendremos informados.

Lamentamos las molestias ocasionadas por este incidente fuera de nuestro control.

09/10/2020 – Aviso de falso burofax electrónico

Desde Hacheté queremos informar de un aviso URGENTE E IMPORTANTE: se ha identificado una campaña de phishing con correos electrónicos que simulan ser un burofax electrónico de la empresa Informados.

Este burofax es FALSO y contiene un texto similar al siguiente:

Fecha y hora del envio: Jueves, 08 da octubre de 2020, 11:20 hs,
Remitente: DEPARTAMENTO JURIDICO ABOGADOS VINAR DOGARIA VERDU CALLE LIMA
20 28006 MADRID (MADRID)
Numero de paginas 1

y nos pide descargar la documentación desde un enlace

 

Rogamos encarecidamente NO PINCHAR NUNCA EN EL ENLACE.

En cualquier caso, siempre recomendamos tener instalada una solución antiransomware como puede ser Malwarebytes Antimalware, que se puede descargar gratuitamente desde su página oficial: https://es.malwarebytes.com/

Gracias por confiar en Hacheté.

20/09/2020 – AVISO URGENTE – Hackeo en webs con WordPress que usan el plugin File Manager

Están explotando activamente una vulnerabilidad crítica de ejecución remota de código en el complemento File Manager, más de 300.000 sitios de WordPress potencialmente expuestos.

El 1 de septiembre se conocía la noticia de que atacantes estaban explotando de manera activa una vulnerabilidad zero-day crítica en la versión 6.8 y anteriores del plugin File Manager para WordPress, así como las versiones Pro desde la 7.6 a la 7.8. La vulnerabilidad permite a usuarios no autenticados ejecutar código de manera remota y subir archivos maliciosos en sitios que tuvieran una versión desactualizada de este plugin.

Según explica el equipo de Seravo, “un atacante que explote la vulnerabilidad puede robar datos privados, destruir el sitio o utilizarlo para realizar otros ataques en otros sitios o su infraestructura”. Por suerte, los desarrolladores de este plugin, que al momento de conocerse el fallo contaba con más de 700.000 instalaciones activas, lanzaron rápidamente la actualización 6.9 de este plugin que repara el fallo.

Sin embargo, el pasado viernes 4 de septiembre, el equipo de Wordfence informó que detectó un incremento dramático en la cantidad de ataques intentando explotar el fallo en sitios que no han instalado la última versión del plugin. Según sus datos, desde que se explotó la vulnerabilidad por primera vez hasta el pasado 4 de septiembre se registraron 1.7 millones de ataques a sitios, y aquellos que no tienen instalado este plugin están siendo revisados por bots que buscan detectar versiones vulnerables del plugin File Manager”, explicó la compañía. Pero tal como aclara Wordfence, sus registros se basan en 3 millones de sitios WordPress que protegen, por lo tanto, la verdadera escala de estos ataques es aún mayor que lo que indican sus registros.

Según explicó en su blog Sucuri, otra de las compañías que analizó el fallo, el 31 de agosto registraron un promedio de 1.500 ataques por hora que intentaban explotar la vulnerabilidad, y un día después, cuando se lanzó la actualización, el promedio de ataques por hora subió a 2.500, mientras que el 2 de septiembre registraron picos de más de 10.000 ataques por hora. A su vez, la compañía considera que “la explotación del fallo creció de forma rápida debido a su alto impacto y a los bajos requerimientos”.

Según los datos estadísticos que se muestran en el sitio de WordPress de File Manager, apenas el 21.3% de los sitios que tienen instalado este plugin están corriendo la versión 6.9 que incluye el parche, por lo tanto, todavía existe una gran cantidad de sitios vulnerables.
https://wordpress.org/plugins/wp-file-manager/advanced/

Algunas víctimas de la explotación de esta vulnerabilidad explican en el foro de soporte de WordPress que tras verse afectados por uno de estos ataques su sitio fue utilizado para redirigir a los usuarios a otras páginas.

Recomendamos a aquellos responsables de sitios en WordPress que utilicen este plugin que actualicen cuanto antes a la última versión disponible y en caso de verse afectados que sigan las instrucciones que dejaron los desarrolladores de File Manager.

SI SU PÁGINA HA ESTADO USANDO ESTE PLUGIN, HA DE DAR POR HECHO QUE TODA LA INFORMACIÓN DE LA MISMA HA SIDO COMPROMETIDA. CAMBIE CUANTO ANTES EL USUARIO/CONTRASEÑA DE LA BASE DE DATOS, EL ACCESO AL PANEL, FTP O CUALQUIER OTRO ACCESO.

Desde Hacheté siempre recomendamos la instalación de la versión de pago del plugin de seguridad Wordfence: http://www.wordfence.com con el que su página habría estado protegida automáticamente.

[Afectación parcial] 11/04/2020: Problemas al conectar cuentas corporativas a Gmail mediante protocolo seguro (TLS/SSL)

Desde el pasado 11/04/2020 Google ha implementado una política de seguridad más estricta en su servicio Gmail y este cambio ha traido problemas para quién tiene configurado su correo de empresa en este servicio. El error que se muestra es el siguiente:

Básicamente de lo que se queja Google (ahora) es de que el nombre del servidor de correo que hayamos puesto no coincide con el nombre del certificado SSL instalado en el servidor.

Esto es muy habitual ya que las empresas de hosting no instalan certificados SSL en el correo para todos y cada uno de sus clientes y lo que hacemos es utilizar uno genérico para todos (en nuestro caso, *.hachete.com).

SOLUCIÓN:
Dentro de Gmail hay que ir a “Configuración” -> “Cuentas e importación” -> “Enviar correo como” y editar la cuenta externa que esté dando problemas. Primero sale el nombre de la cuenta, damos a “Siguiente” y veremos los parámetros de seguridad.

En este apartado hay que cambiar el nombre del servidor SMTP del dominio al nombre (público) del servidor.

¿Y cómo sé cuál es el nombre público (hostname) de mi servidor de correo? Pues es tan fácil cómo 3 pasos:

1. Abrir una ventana de comandos: En Windows – Ejecutar (o preguntarle a Cortana) – CMD. En esa ventana negra, hay que escribir: ping nombre-del-servidor-que-tengamos Por ejemplo: ping mail.hachete.com

2. Apuntamos el valor de la IP que nos da (en nuestro ejemplo, 84.124.52.2).

3. En la misma ventana negra, escribimos nslookup IP-que-nos-ha-dado-antes Por ejemplo: nslookup 84.124.52.2

4. El nombre que nos devuelve es el que tenemos que poner en la casilla de Gmail (en nuestro ejemplo obelix.hachete.com)