[AYUDA] Correo de BBVA ¿verdadero o falso?

Te han intentado engañar con una web falsa del BBVA alojada en Rusia

Aquí tenemos todo el cuerpo del delito

Saludos

Delivered-To: x
Received: by 10.100.163.8 with SMTP id l8cs143237ane;
Wed, 31 Aug 2011 06:41:49 -0700 (PDT)
Received: by 10.213.113.130 with SMTP id a2mr287345ebq.130.1314798107918;
Wed, 31 Aug 2011 06:41:47 -0700 (PDT)
Return-Path: <ftp010_067@plesk10.briteline.de>
Received: from plesk10.briteline.de (plesk10.briteline.de [82.198.223.221])
by mx.google.com with ESMTPS id p45si6138371eef.183.2011.08.31.06.41.47
(version=TLSv1/SSLv3 cipher=OTHER);
Wed, 31 Aug 2011 06:41:47 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of ftp010_067@plesk10.briteline.de designates 82.198.223.221 as permitted sender) client-ip=82.198.223.221;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of ftp010_067@plesk10.briteline.de designates 82.198.223.221 as permitted sender) smtp.mail=ftp010_067@plesk10.briteline.de
Received: from plesk10.briteline.de (localhost [127.0.0.1])
by plesk10.briteline.de (Postfix) with ESMTP id 6CC60B9A14
for <x>; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
Received: from plesk10.briteline.de (localhost [127.0.0.1])
by plesk10.briteline.de (Postfix) with ESMTP id 5031CB9A10
for <x>; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
Received: by plesk10.briteline.de (Postfix, from userid 10034)
id 4D788B9A02; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
To: x
Subject: AVISO DE BBVA - ACTUALIZAR SUS DATOS!
From: GRUPOBBVA@ALERTABBVAID-AVISO.org
Content-Type: text/html
Message-Id: <2011_________________9A02@plesk10.briteline.de>
Date: Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
X-AV-Checked: ClamAV using ClamSMTP at plesk10.briteline.deView entire message
Parsing header:


Received: by 10.100.163.8 with SMTP id l8cs143237ane; Wed, 31 Aug 2011 06:41:49 -0700 (PDT)
no from
10.100.163.8 found
host 10.100.163.8 (getting name) no name

10.100.163.8 discarded


Received: by 10.213.113.130 with SMTP id a2mr287345ebq.130.1314798107918; Wed, 31 Aug 2011 06:41:47 -0700 (PDT)
no from
10.213.113.130 found
host 10.213.113.130 (getting name) no name

10.213.113.130 discarded


Received: from plesk10.briteline.de (plesk10.briteline.de [82.198.223.221]) by mx.google.com with ESMTPS id p45si6138371eef.183.2011.08.31.06.41.47 (version=TLSv1/SSLv3 cipher=OTHER); Wed, 31 Aug 2011 06:41:47 -0700 (PDT)
82.198.223.221 found
host 82.198.223.221 (getting name) = plesk10.briteline.de.
plesk10.briteline.de is 82.198.223.221
Possible spammer: 82.198.223.221
82.198.223.221 is an MX for plesk10.briteline.de
82.198.223.221 is mx
Received line accepted


Received: from plesk10.briteline.de (localhost [127.0.0.1]) by plesk10.briteline.de (Postfix) with ESMTP id 6CC60B9A14 for <x>; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
127.0.0.1 found
host 127.0.0.1 = localhost (cached)
localhost is 127.0.0.1
82.198.223.221 not listed in dnsbl.njabl.org ( 127.0.0.9 )
82.198.223.221 not listed in cbl.abuseat.org
82.198.223.221 not listed in dnsbl.sorbs.net
82.198.223.221 is not an MX for mx.google.com
82.198.223.221 is an MX for plesk10.briteline.de

127.0.0.1 discarded


Received: from plesk10.briteline.de (localhost [127.0.0.1]) by plesk10.briteline.de (Postfix) with ESMTP id 5031CB9A10 for <x>; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
127.0.0.1 found
host 127.0.0.1 = localhost (cached)
localhost is 127.0.0.1
82.198.223.221 not listed in dnsbl.njabl.org ( 127.0.0.9 )
82.198.223.221 not listed in cbl.abuseat.org
82.198.223.221 not listed in dnsbl.sorbs.net
82.198.223.221 is not an MX for mx.google.com
82.198.223.221 is an MX for plesk10.briteline.de

127.0.0.1 discarded


Received: by plesk10.briteline.de (Postfix, from userid 10034) id 4D788B9A02; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
Ignored
82.198.223.221 not listed in dnsbl.njabl.org ( 127.0.0.9 )
82.198.223.221 not listed in cbl.abuseat.org
82.198.223.221 not listed in dnsbl.sorbs.net
82.198.223.221 is not an MX for mx.google.com
82.198.223.221 is an MX for plesk10.briteline.de

Tracking message source: 82.198.223.221:
Routing details for 82.198.223.221
[refresh/show] Cached whois for 82.198.223.221 : alf@all.de
Using last resort contacts alf@all.de

Yum, this spam is fresh!
Message is 1 hours old
82.198.223.221 not listed in dnsbl.njabl.org ( 127.0.0.8 )
82.198.223.221 not listed in dnsbl.njabl.org ( 127.0.0.9 )
82.198.223.221 not listed in cbl.abuseat.org
82.198.223.221 not listed in dnsbl.sorbs.net
82.198.223.221 not listed in accredit.habeas.com
82.198.223.221 not listed in plus.bondedsender.org
82.198.223.221 not listed in iadb.isipp.com

Finding links in message body
Parsing HTML part

Resolving link obfuscation
Debes estar logueado para poder ver los enlaces. <----- La web FalsaTracking link: Debes estar logueado para poder ver los enlaces.No recent reports, no history available
Resolves to 79.174.79.85
Routing details for 79.174.79.85
[refresh/show] Cached whois for 79.174.79.85 : abuse@hc.ru
Using abuse net on abuse@hc.ru
abuse net hc.ru = abuse@comstar.ru, abuse@hc.ru
Using best contacts abuse@comstar.ru abuse@hc.ru

Acabo de hablar con alguien que trabaja en BBVA y le he preguntado sobre esto y me ha dicho que no, que BBVA no pide datos por mail a los clientes, que si necesitan algun dato le piden al cliente que se pase por la oficina.


un saludo

quote:

---

Originalmente escrito por davigarma
Te han intentado engañar con una web falsa del BBVA alojada en Rusia

Aquí tenemos todo el cuerpo del delito

Saludos

Delivered-To: x
Received: by 10.100.163.8 with SMTP id l8cs143237ane;
Wed, 31 Aug 2011 06:41:49 -0700 (PDT)
Received: by 10.213.113.130 with SMTP id a2mr287345ebq.130.1314798107918;
Wed, 31 Aug 2011 06:41:47 -0700 (PDT)
Return-Path: <ftp010_067@plesk10.briteline.de>
Received: from plesk10.briteline.de (plesk10.briteline.de [82.198.223.221])
by mx.google.com with ESMTPS id p45si6138371eef.183.2011.08.31.06.41.47
(version=TLSv1/SSLv3 cipher=OTHER);
Wed, 31 Aug 2011 06:41:47 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of ftp010_067@plesk10.briteline.de designates 82.198.223.221 as permitted sender) client-ip=82.198.223.221;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of ftp010_067@plesk10.briteline.de designates 82.198.223.221 as permitted sender) smtp.mail=ftp010_067@plesk10.briteline.de
Received: from plesk10.briteline.de (localhost [127.0.0.1])
by plesk10.briteline.de (Postfix) with ESMTP id 6CC60B9A14
for <x>; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
Received: from plesk10.briteline.de (localhost [127.0.0.1])
by plesk10.briteline.de (Postfix) with ESMTP id 5031CB9A10
for <x>; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
Received: by plesk10.briteline.de (Postfix, from userid 10034)
id 4D788B9A02; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
To: x
Subject: AVISO DE BBVA - ACTUALIZAR SUS DATOS!
From: GRUPOBBVA@ALERTABBVAID-AVISO.org
Content-Type: text/html
Message-Id: <2011_________________9A02@plesk10.briteline.de>
Date: Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
X-AV-Checked: ClamAV using ClamSMTP at plesk10.briteline.deView entire message
Parsing header:


Received: by 10.100.163.8 with SMTP id l8cs143237ane; Wed, 31 Aug 2011 06:41:49 -0700 (PDT)
no from
10.100.163.8 found
host 10.100.163.8 (getting name) no name

10.100.163.8 discarded


Received: by 10.213.113.130 with SMTP id a2mr287345ebq.130.1314798107918; Wed, 31 Aug 2011 06:41:47 -0700 (PDT)
no from
10.213.113.130 found
host 10.213.113.130 (getting name) no name

10.213.113.130 discarded


Received: from plesk10.briteline.de (plesk10.briteline.de [82.198.223.221]) by mx.google.com with ESMTPS id p45si6138371eef.183.2011.08.31.06.41.47 (version=TLSv1/SSLv3 cipher=OTHER); Wed, 31 Aug 2011 06:41:47 -0700 (PDT)
82.198.223.221 found
host 82.198.223.221 (getting name) = plesk10.briteline.de.
plesk10.briteline.de is 82.198.223.221
Possible spammer: 82.198.223.221
82.198.223.221 is an MX for plesk10.briteline.de
82.198.223.221 is mx
Received line accepted


Received: from plesk10.briteline.de (localhost [127.0.0.1]) by plesk10.briteline.de (Postfix) with ESMTP id 6CC60B9A14 for <x>; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
127.0.0.1 found
host 127.0.0.1 = localhost (cached)
localhost is 127.0.0.1
82.198.223.221 not listed in dnsbl.njabl.org ( 127.0.0.9 )
82.198.223.221 not listed in cbl.abuseat.org
82.198.223.221 not listed in dnsbl.sorbs.net
82.198.223.221 is not an MX for mx.google.com
82.198.223.221 is an MX for plesk10.briteline.de

127.0.0.1 discarded


Received: from plesk10.briteline.de (localhost [127.0.0.1]) by plesk10.briteline.de (Postfix) with ESMTP id 5031CB9A10 for <x>; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
127.0.0.1 found
host 127.0.0.1 = localhost (cached)
localhost is 127.0.0.1
82.198.223.221 not listed in dnsbl.njabl.org ( 127.0.0.9 )
82.198.223.221 not listed in cbl.abuseat.org
82.198.223.221 not listed in dnsbl.sorbs.net
82.198.223.221 is not an MX for mx.google.com
82.198.223.221 is an MX for plesk10.briteline.de

127.0.0.1 discarded


Received: by plesk10.briteline.de (Postfix, from userid 10034) id 4D788B9A02; Wed, 31 Aug 2011 15:41:46 +0200 (CEST)
Ignored
82.198.223.221 not listed in dnsbl.njabl.org ( 127.0.0.9 )
82.198.223.221 not listed in cbl.abuseat.org
82.198.223.221 not listed in dnsbl.sorbs.net
82.198.223.221 is not an MX for mx.google.com
82.198.223.221 is an MX for plesk10.briteline.de

Tracking message source: 82.198.223.221:
Routing details for 82.198.223.221
[refresh/show] Cached whois for 82.198.223.221 : alf@all.de
Using last resort contacts alf@all.de

Yum, this spam is fresh!
Message is 1 hours old
82.198.223.221 not listed in dnsbl.njabl.org ( 127.0.0.8 )
82.198.223.221 not listed in dnsbl.njabl.org ( 127.0.0.9 )
82.198.223.221 not listed in cbl.abuseat.org
82.198.223.221 not listed in dnsbl.sorbs.net
82.198.223.221 not listed in accredit.habeas.com
82.198.223.221 not listed in plus.bondedsender.org
82.198.223.221 not listed in iadb.isipp.com

Finding links in message body
Parsing HTML part

Resolving link obfuscation
Debes estar logueado para poder ver los enlaces. <----- La web FalsaTracking link: Debes estar logueado para poder ver los enlaces. recent reports, no history available
Resolves to 79.174.79.85
Routing details for 79.174.79.85
[refresh/show] Cached whois for 79.174.79.85 : abuse@hc.ru
Using abuse net on abuse@hc.ru
abuse net hc.ru = abuse@comstar.ru, abuse@hc.ru
Using best contacts abuse@comstar.ru abuse@hc.ru

---

gracias tio, me lo pensaba que es eso pero no estaba seguro y tu me quitaste la duda

muchas gracias por la ayuda

quote:

---

Originalmente escrito por ocu
Acabo de hablar con alguien que trabaja en BBVA y le he preguntado sobre esto y me ha dicho que no, que BBVA no pide datos por mail a los clientes, que si necesitan algun dato le piden al cliente que se pase por la oficina.


un saludo

---

zenkiu por las molestias ocu
cuidate!

edito
tu no tenias mi verde todavía???

quote:

---

Originalmente escrito por bpmircea
gracias tio, me lo pensaba que es eso pero no estaba seguro y tu me quitaste la duda

muchas gracias por la ayuda




zenkiu por las molestias ocu
cuidate!

---

de nada, me alegro que no hayas dado ningun dato


un saludo

[QUOTE]Originalmente escrito por bpmircea
[B]gracias tio, me lo pensaba que es eso pero no estaba seguro y tu me quitaste la duda

muchas gracias por la ayuda

QUOTE]

De nada, pero hay más datos. El que te ha intentado engañar lo he echo desde Alemania desde el proveedor All.de, hay dudas si desde un ordnador infectado ( podría saberlo) o desde el suyo propio pero desde mi larga experiencia te puedo decir que este te lo ha enviado "personalizado" para tí, no es masivo, ándate con ojo , que los "personalizados" son los más peligrosos, alguién tiene alguna informacion "cercana" tuya. Extrema precauciones

S2

quote:

---

Originalmente escrito por davigarma
[QUOTE]Originalmente escrito por bpmircea
[B]gracias tio, me lo pensaba que es eso pero no estaba seguro y tu me quitaste la duda

muchas gracias por la ayuda

QUOTE]

De nada, pero hay más datos. El que te ha intentado engañar lo he echo desde Alemania desde el proveedor All.de, hay dudas si desde un ordnador infectado ( podría saberlo) o desde el suyo propio pero desde mi larga experiencia te puedo decir que este te lo ha enviado "personalizado" para tí, no es masivo, ándate con ojo , que los "personalizados" son los más peligrosos, alguién tiene alguna informacion "cercana" tuya. Extrema precauciones

S2

---

¡que me dice!
eso ya no me gusta tanto


zenkiu man y si puedes sacar algo mas aquí estoy.

quote:

---

Originalmente escrito por davigarma
[QUOTE]Originalmente escrito por bpmircea
[B]gracias tio, me lo pensaba que es eso pero no estaba seguro y tu me quitaste la duda

muchas gracias por la ayuda

QUOTE]

De nada, pero hay más datos. El que te ha intentado engañar lo he echo desde Alemania desde el proveedor All.de, hay dudas si desde un ordnador infectado ( podría saberlo) o desde el suyo propio pero desde mi larga experiencia te puedo decir que este te lo ha enviado "personalizado" para tí, no es masivo, ándate con ojo , que los "personalizados" son los más peligrosos, alguién tiene alguna informacion "cercana" tuya. Extrema precauciones

S2

---

¿Cómo puedes saber (o intuir) que el correo es personalizado y no masivo? Joder, me pasa a mí, me dices eso y me emparanoio para todo lo que queda de año.

quote:

---

Originalmente escrito por sjlsjl
¿Cómo puedes saber (o intuir) que el correo es personalizado y no masivo? Joder, me pasa a mí, me dices eso y me emparanoio para todo lo que queda de año.

---

..dímelo a mi que esta tarde me entraron 2000€ en la cuenta y espero el día de mañana para ver si están o no..

Lo primero tranquilizarse que "no pasa nada" todos somos "aprendices" y luego permitidme que no me explaye más. Llevo muchos años combatiendoles y no quiero dar pista alguna ya me ha tocado algún disgusto que otro

Pero tengo la suficente experiencia para saber que este se lo han enviado para él porque el que lo ha echo tiene elgún indicio certero de que va a lanzar el anzuelo con altas posibilidades de que enganche al pez

Tened en cuenta que el cibercrimen tambien "evoluciona" como lo hacemos nostros y ahora son más peligrsos que nunca

Se acabaron los tiempos en que los delincuentes compraban unas listas de emails mas o menos certeras a las mafias del spam que se dedican al pirateo, la venta ilegal de medicamentos, la pornografía infantil, etc. y lanzaban campañas con millones de emails a diestro y siniestro para enganchar al más pardillo de todos. Conforme aumenta la "educación" del cibernauta el ciberdelincuente cambia de táctica sabedor de que ahora los pardillos abundan menos. Ahora el criminal sabe que cuanto más certero sea en los datos uque maneja mayor es la posibilidad de que su fechoría tenga éxito. Con la proliferacion de redes sociales, ventas ilegales de bases de datos ( mi número de téfono y mi direcccion - y seguramnte el tuyo tambien - se encuentran a la venta en una web de Estados Unidos que tiene toda la guia de Telefónica de hace unos años antes de que esto fuese delito en España) y no puedo hacer nada porque en donde está alojada la publicacion por búsqueda invera no está penbalizado, en España sí, etc, etc

El resultado es que el delincuente ahora dispone de muchas más herramientas para ser más certero y ahorrse el enviar millones de correos para enganchar alguno que está desprevenido. Ahora la delincuencia busca el "target" concreto y preciso a base de recopilar datos para ser más efectivo


S2

La web pirata es esta:
Debes estar logueado para poder ver los enlaces.
es una copia casi original a la oficial

te logueas con tus datos, o unos falsos (cuela perfectamente pq esos datos son guardados y el hacker los revisa) dentro de tu supuesta cuenta te pide confirmar tu cuenta corriente, tarjeta, pin, ccv y fecha caducidad (con esto el hacker ya tiene todo) le das a aceptar y te redirige a la buena
https://www.bbva.es/TLBS/tlbs/esp/s...lares/index.jsp
con lo q parece q te has deslogueado, vuelves a loguearte (ahora en la de verdad) y no notas ningun cambio y operas con normalidad, sin saber q la web de antes no era la buena y has regalado tus datos a alguien.

Cuidadito q esa web esta muy bien copiada. Solo tiene un fallo en "obtener financiaci?" lo han copiado con algun software q no admite acentos.