El Shava Un lugar para compartir experiencias
Esta entrada la escribí como reseña y recomendación para todas las personas que recibieron este correo, el cual a simple vista, parece y es una estafa. Tengan cuidado.
Antes que nada debo darles una advertencia, no den clic en los enlaces que les comparto, los comparto únicamente con fines ilustrativos y didácticos. No me responsabilizo de las consecuencias y vulnerabilidades de seguridad que pudieran ocasionar el visitar los enlaces. Si lo hacen, ES BAJO SU PROPIA RESPONSABILIDAD.
El día de ayer me sucedió algo bastante curioso, estaba usando IE para revisar la configuración de un sitio web cuando apareció un pop-up con publicidad que redireccionó el navegador a la siguiente liga
El título de la página es SE HA BLOQUEADO SU NAVEGADOR y al principio, me tomó por sorpresa pues creí que se trataba de algún tipo de virus, gusanillo o troyano; recordemos que IE es extremadamente vulnerable a este tipo de ataques, pero no, se trata de un aviso que alerta al usuario de que el navegador se bloqueó por descargar contenido ilegal (música, fotos, video) y por encontrar material pronográfico de menores de edad en la PC.
Les comparto la pantalla de dicho sitio.
Al revisar el sitio desde Firefox (tengo una serie de plugins que mejoran la seguridad de navegación) noté que de entrada se trata de UN FRAUDE, por lo que si les aparece dicha página hagan caso omiso pues no hay repercusiones legales por este mensaje.
Analicemos la imagen:
- En el recuadro superior izquierdo de color verde, podemos ver la URL que les mencioné anteriormente. Si nunca pones atención a las direcciones de internet que abres desde links, es momento de que lo hagas pues aquí hay una clara evidencia de que la página es falsa, ya que el dominio (página principal) al que pertenece el sitio es p8464.com , un sitio registrado por una empresa de nombre BIZCN.COM, INC. que curiosamente se ubica en la provincia de Fujian en China (más adelante explicaré más a detalle esto) y no a la Secretaría de Relaciones Exteriores como lo hacen suponer al inicio de la dirección.
- En el recuadro rojo podemos ver que la página se aloja en servidores en Rusia; todas las Secretarías de nuestro país alojan sus sitios oficiales en servidores de México.
- En el círculo de color negro ubicado en la parte superior derecha se puede ver un escudo de la Policía Federal y una leyenda que dice «POLISÍA FEDERAL«. Ninguna Secretaría comete errores ortográficos como este (a excepción de la SEP claro está).
- Otro punto es que, las Secretarías de nuestro país no mezclan (en un mismo sitio) nombres, logos o información sobre una determinada actividad o sentencia legal. En la imagen vemos el logo de la SEGOB, el escudo nacional, el nombre de una Comisión y 3 logos diferentes.
- En la parte central del sitio podemos leer que se han violado derechos de autor con video, música o software y que además, han encontrado pornografía infantil en nuestro equipo. Por ello nos hemos hecho acreedores a a una multa de $1000 MXN que se debe pagar comprando una tarjeta PAYSAFECARD en algún establecimiento señalado en la parte inferior.
- Aquí hay un detalle bastante interesante, al revisar el código fuente del sitio pude notar que el script que maneja el cuadro de texto donde hay que colocar el código de la tarjeta, en la parte inferior derecha marcado con rosa; es un iframe (como lo es casi todo el sitio) apuntando a la URL 10756.com, que es administrada por otra empresa china de nombre HICHINA ZHICHENG TECHNOLOGY LTD. y que, aparentemente, su negocio es la distribución de diversos artículos (trader and supplier).
Como pueden notar, aquí hay un patrón muy evidente y es que ambos sitios son operados por supuestas empresas chinas, y si China involucrado, o es muy bueno o es muy malo, y aquí sucede lo segundo.
En este sitio (y en otros casi 6,000), se utiliza un script malicioso basado en geolocalización por IP, es decir, que de acuerdo al páis desde donde se visualice el sitio, se mostraran características propias del país. En este caso, la SEGOB, una Comisión y la Policía Federal.
La siguiente es un pantalla con el «machote» original dirigido a los usuarios de Estados Unidos:
Claramente podemos observar que es el mismo texto que el sitio de la primera imagen, sólo que este está en inglés, pero habla exactamente de lo mismo: se infringen derechos de autor en el mismo artículo, sección y cláusula.
Con todas estas pruebas doy por terminada la explicación de por qué este sitio es un fraude y cualquiera que se advertido con este mensaje, debe ignorarlo y borrarlo (en caso de que lo reciban por email), ya que no hay repercusiones legales reales.
Decidí hacer esta explicación por que una persona cercana a mí, recibió el mismo aviso, sólo que esta persona creyó que era cierto y hasta iba a pagar el dinero que se pide para evitar la acción legal. Afortunadamente me consultó y le di casi la misma explicación que acabo de escribir (con un poco menos de detalle técnico); por lo que decidí compartirlo con más personas para que no sean víctimas de este fraude orquestado por empresas chinas.
Ahora bien, el porqué me parece curioso que uno de los sitios chinos está ubicado en la provincia de Fujian en China, es porque la mayoría de las empresas de ese lugar se dedican al SCAM (fraude electrónico), ya sea por email o vía web como este caso. Pueden consultar un poco más sobre este tema en la Wikipedia (este link lo pueden abrir con confianza).
Y para todos aquellos que sean expertos en seguridad informática, les comparto los detalles técnicos de cada entidad involucrada en este fraude:
Domain name: p8464.com
Registrant Contact:
Whois Privacy Protection Service
Whois Agent
+86.05922577888 fax: +86.05922577111
No. 61 Wanghai Road, Xiamen Software Park
xiamen fujian 361008
cnAdministrative Contact:
Whois Agent
+86.05922577888 fax: +86.05922577111
No. 61 Wanghai Road, Xiamen Software Park
xiamen fujian 361008
cnTechnical Contact:
Whois Agent
+86.05922577888 fax: +86.05922577111
No. 61 Wanghai Road, Xiamen Software Park
xiamen fujian 361008
cnBilling Contact:
Whois Agent
+86.05922577888 fax: +86.05922577111
No. 61 Wanghai Road, Xiamen Software Park
xiamen fujian 361008
cnDNS:
ns3.cnmsn.com
ns4.cnmsn.comCreated: 2013-09-01
Expires: 2014-09-01Site Profile and Search Rank
Website Title:
YOUR BROWSER HAS BEEN LOCKED
Title Relevancy
80%
Alexa Trend/Rank:
#3,903,741: for the last three months.
AboutUs:
Wiki article on P8464.com
SEO Score:
72%
Terms:
444 (Unique: 208, Linked: 0)
Images:
6 (Alt tags missing: 2)
Links:
0 (Internal: 0, Outbound: 0)
iFrames:
150 ( Parts of page not indexable by most search engines. )Registration
ICANN Registrar:
BIZCN.COM, INC.
Created:
2013-09-01
Expires:
2014-09-01 Backorder Now or Hire a domain broker
Updated:
2013-09-01
Registrar Status:
clientDeleteProhibited
clientTransferProhibited
Name Server:
NS3.CNMSN.COM (has 4,214 domains)
NS4.CNMSN.COM (has 4,214 domains)
Whois Server:
whois.bizcn.comServer Data
IP Address:
91.220.131.106 Reverse-IP | Ping | DNS Lookup | Traceroute
Whois Server:
whois.bizcn.com
ASN:
Russian Federation AS44050 PIN-AS Petersburg Internet Network LLC (registered Nov 09, 2007)
IP Location:
Russian Federation – Krasnodar – Lenina – Teterin Igor Ahmatovich
Response Code:
200
Domain Status:
Registered And Active Website
Domain Name ………………… 10756.com
Sponsoring Registrar ………… HICHINA ZHICHENG TECHNOLOGY LTD.
Name Server ………………… dns10.hichina.com
dns9.hichina.com
Registrant ID ………………. hc808024649-cn
Registrant Name …………….. Zihang Liu
Registrant Organization ……… Machree
Registrant Address ………….. Hubei Wuhan jianghan
Registrant City …………….. Wuhan
Registrant Province/State ……. Hubei
Registrant Postal Code ………. 430000
Registrant Country Code ……… CN
Registrant Phone Number ……… +86.013871532930
Registrant Fax ……………… +86.013871532930
Registrant Email …………….
Administrative ID …………… hc808024649-cn
Administrative Name …………. Zihang Liu
Administrative Organization ….. Machree
Administrative Address ………. Hubei Wuhan jianghan
Administrative City …………. Wuhan
Administrative Province/State … Hubei
Administrative Postal Code …… 430000
Administrative Country Code ….. CN
Administrative Phone Number ….. +86.013871532930
Administrative Fax ………….. +86.013871532930
Administrative Email …………
Billing ID …………………. hichina001-cn
Billing Name ……………….. hichina
Billing Organization ………… HiChina Web Solutions Limited
Billing Address …………….. 3/F., HiChina Mansion
No.27 Gulouwai Avenue
Dongcheng District
Billing City ……………….. Beijing
Billing Province/State ………. Beijing
Billing Postal Code …………. 100011
Billing Country Code ………… CN
Billing Phone Number ………… +86.01064242299
Billing Fax ………………… +86.01064258796
Billing Email ……………….
Technical ID ……………….. hichina001-cn
Technical Name ……………… hichina
Technical Organization ………. HiChina Web Solutions Limited
Technical Address …………… 3/F., HiChina Mansion
No.27 Gulouwai Avenue
Dongcheng District
Technical City ……………… Beijing
Technical Province/State …….. Beijing
Technical Postal Code ……….. 100011
Technical Country Code ………. CN
Technical Phone Number ………. +86.01064242299
Technical Fax ………………. +86.01064258796
Technical Email ……………..
Domain Create Date ………….. 2008-01-18 15:08:34
Expiration Date …………….. 2014-01-18 15:08:34Site Profile and Search Rank
Website Title:
None given.
AboutUs:
Wiki article on 10756.com
SEO Score:
65%
Terms:
1127 (Unique: 702, Linked: 0)
Images:
0 (Alt tags missing: 0)
Links:
0 (Internal: 0, Outbound: 0)
Similar Domains:
1075kzl.com, 1075alive.com, 1073online.com, 1075kiss.com, 1075thebear.com, 1075frank.com, 1073theroad.com, 1073rocks.com, 1075awards.com, 1073wrsw.com, 1073kaz.com, 1073miemisora.com, 1075theeagle.comRegistration
ICANN Registrar:
HICHINA ZHICHENG TECHNOLOGY LTD.
Created:
2008-01-18
Expires:
2014-01-18 Backorder Now or Hire a domain broker
Updated:
2013-01-18
Registrar Status:
ok
Name Server:
DNS10.HICHINA.COM (has 1,392,483 domains)
DNS9.HICHINA.COM (has 1,392,483 domains)
Whois Server:
grs-whois.hichina.comServer Data
IP Address:
221.232.78.103 Reverse-IP | Ping | DNS Lookup | Traceroute
Whois Server:
grs-whois.hichina.com
ASN:
China AS4134 CHINANET-BACKBONE No.31,Jin-rong Street (registered Aug 01, 2002)
IP Location:
China – Hubei – Wuhan – Chinanet Hubei Province Network
Response Code:
200
Domain Status:
Registered And Active Website
Net.cn (Este dominio está restringido)
Whois Record
Whois History:
593 records have been archived since 2009-10-01 .
Reverse IP:
84 other sites hosted on this server.Server Data
Server Type:
Tengine
IP Address:
42.156.140.7 Reverse-IP | Ping | DNS Lookup | Traceroute
Whois Server:
whois.cnnic.cn
ASN:
China AS37963 CNNIC-ALIBABA-CN-NET-AP Hangzhou Alibaba Advertising Co.,Ltd. (registered Mar 08, 2006)
IP Location:
China – Zhejiang – Hangzhou – Aliyun Computing Co. Ltd
Response Code:
200
Domain Status:
Registered And Active Website
Algo que me causa mucho ruido es que este dominio lo registró la empresa HICHINA ZHICHENG TECHNOLOGY LTD. quien es promovida por Microsoft, como lo pueden ver en la siguiente imagen:
Esta empresa se dedica al hospedaje web y quien pagó por los derechos fue la empresa (también China) HiChina Web Solutions Limited, quien fue adquirido el 6 de enero de 2013 por Alibaba Cloud Computing Company.
Que como muchos sabemos, Alibaba es uno de los principales abastecedores de diversos artículos y materias primas en el mundo. Esta página también es China.
No sé ustedes, pero a mí me suena como que hay mucha tela de dónde cortar en este tema, que si bien este sitio es un fraude, tan sólo es la punta de una red de corrupción que opera en China y que no puede ser señalada legalmente por toda la diplomacía que hay alrededor de.
Como conclusión, duden de todo aquello que encuentren en internet demasiado bueno o demasiado malo. En este caso, la Policía Federal no te va a avisar que van por ti por delitos cibernéticos, simplemente van a tu casa y te llevan «de cochecito» esposado.
Otra, si te avisan que te has ganado un premio, por sentido común, si es un regalo no se debe condicionar a la compra o donativo de nada. Por eso se llama regalo.
En fin mis queridos lectores, espero esto les sea de utilidad y si aún con toda la información y recomendaciones que les he dado caen en la trampa, quizá si se merezcan haber caído.
Comentarios