Comprobando la veracidad del correo de #Buyvip

9/09/2011 10:52:00 p. m. No Comment
El correo de buyvip lleva una imagen con la siguiente dirección URL:

http://i.buyvip.com/gallery/081203103804616031/Solus_ES.png

Voy a realizar una serie de pruebas con el objetivo de verificar que el correo ha sido enviado desde servidores de buyvip.com.


Comprobación de los DNS

En primer lugar voy a utilizar el comando PING, para verificar rápidamente que nombre de servidor y dirección IP devuelve el servidor DNS.

Primer intento:
$> ping i.buyvip.com
Resultado inesperado: el comando resuelve: content.xprofiler.com [88.86.101.90]


Segundo intento:

$> ping i.buyvip.com

Resultado esperado: el comando resuelve i.buyvip.com [88.89.101.90]

PING TEST i.buyvip.com
En los dos intentos, han devuelto la misma IP.

Investigando el dominio XPROFILER.ES

Investigando un poco el dominio xprofiler.es esta registrado a nombre de: Schober Information Group.

Es una empresa que se dedican a Bases de Datos, y Servicios y Soluciones para objetivos de Marketing y Ventas, por lo que no me extrañaría hayan alojado en sus servidores el contenido de la imagen, y que descubrir el DNS (content.xprofiler.es), sea debido a que ha sido muy reciente el cambio, y los servidores DNS-raiz no han actualizado al completo la re-dirección del dominio.

Consultas públicas de información relacionada con los nombres de dominios

Información sobre las consultas a los registradores de dominio muestran los siguientes datos:
Registro buyvip.com
Para asegurarme he realizado una busquedad del dominio con el comando nslookup, y se comprueba que coinciden con lo obtenido de la consulta del dominio buyvip.com en http://whois.domaintools.com.


Nslookup buyvip.com
Esto por el momento, no demuestra la vinculación del subdominio i.buyvip.com con buyvip sino con xprofiler.com de Schober Information Group.

Información del NIC (registrador de dominio .es):
Información del dominio Xprofiler.es
por ultimo, Internet ha dado con la tecla, una entrevista al Director Schober PDM Ibérica, donde confirma que trabajan con buyvip.

Conclusión

Por lo que todos los indicios nos llevan a decir que el mensaje de buyvip es veraz, hasta donde podemos verificar, y eso significa, que los datos de los usuarios han sido (o podian haber sido) comprometidos.


Tags
Julian J. Gonzalez

Telecommunication Engineer specialized in Networks and Computer Security. Professor of the Master IT Security at the University of Seville since 2013 (http://trajano.us.es/seguridadtic/). Develop skill #Python #DevSecOps #Golang check my Github.

0 comentarios:

Publicar un comentario

Designed with by Way2themes | Distributed by Blogspot Themes