El correo fraudulento del día se relaciona con la usurpación de identidad del Instituto Nacional Electoral – vía correo electrónico –. El mensaje que se recibe es el siguiente:

ph_ine_20161115

La mecánica consiste en que la persona atacada, tras recibir este correo, realice tres posibles acciones:

  1. actualice el correo para que todos los links se activen y con ello suceda la posible descarga de un archivo que sea malware o un tracer de actividad
  2. de click a la indicación  “Descargar” y llegar a un sitio web ajeno al INE (mismo que al momento de publicar este post no contiene archivos o contenido malicioso)
  3. Acuda al INE y solicite la destrucción de una credencial que no existe

Compartimos header para los que hacen investigación al respecto:

Delivered-To: XXXXXXXXXXXXXX
Received: by 10.107.39.148 with SMTP id n142csp1557142ion;
Tue, 15 Nov 2016 03:53:27 -0800 (PST)
X-Received: by 10.157.56.188 with SMTP id p57mr7346749otc.94.1479210807788;
Tue, 15 Nov 2016 03:53:27 -0800 (PST)
Return-Path: <[email protected]>
Received: from argon.liza.net.mx (argon.liza.net.mx. [76.74.248.12])
by mx.google.com with ESMTPS id 18si6346995otz.330.2016.11.15.03.53.27
for <XXXXXXXXXXXXXX>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Tue, 15 Nov 2016 03:53:27 -0800 (PST)
Received-SPF: fail (google.com: domain of [email protected] does not designate 76.74.248.12 as permitted sender) client-ip=76.74.248.12;
Authentication-Results: mx.google.com;
spf=fail (google.com: domain of [email protected] does not designate 76.74.248.12 as permitted sender) [email protected]
Received: from u14.xdeal4you.com ([89.42.212.185])
by argon.liza.net.mx (LIZA Internet Mail Server v11ar) with ASMTP id 201611140344394943;
Mon, 14 Nov 2016 03:44:39 -0600
Message-ID: <[email protected]>
Reply-To: “Instituto Nacional Electoral” <[email protected]>
From: “Instituto Nacional Electoral” <[email protected]>
Subject: =?utf-8?B?Q2l0YSBwZW5kaWVudGUgZW4gZWwgbcOzZHVsbyBJTkUu?=
Date: Mon, 14 Nov 2016 08:44:02 -0800
Organization: fplkdyrn
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_0AB9_01D23E53.3FC94B50″
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Windows Live Mail 16.4.3528.331
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331