Buscar en el blog

miércoles, 15 de diciembre de 2010

Ofertas de trabajo falsas



A veces me sorprendo de lo que descubro investigando para publicar cosas en Registro de Hoax. Hoy es uno de esas veces. Había pensado escribir un post con todas las supuestas ofertas de trabajo que recibo en el correo en una semana (a modo de ejemplo, por no estar publicando lo mismo periódicamente, pero que no fuese uno solo en plan sosaina) y cuando me puse a ello me di cuenta de las siguientes cosas curiosas:

De los 70 correos que tenía en el buzón de spam (repito: de una semana), 15 eran suculentas ofertas de trabajo. Lo cual llama un poco la antención con lo parado que está el mercado laboral, ¿no?

En realidad, de esas 15 ofertas de trabajo, solo una era "única": las otras 14 se podían reducir a 2 modelos. Y lo mejor de todo es de lo que me di cuenta cuando me puse a escarbar un poco más.


MODELO 1:

Pertenecen a este modelo 6 de las 15 ofertas que recibí.

El asunto es variable, los que yo recibí fueron: "message n.87", "ocupación parcial" (en dos casos), "vacancia abierta", "cooperación con una firma grande" y "buscamos a socios en españa".

El texto sigue el siguiente modelo, donde he puesto entre corchetes y con mayúsculas lo que varía (el resto es constante, en plan plantilla):


[UNA FORMULA DE SALUTACIÓN VARIABLE]

Nuestra compania admite los colaboradores autonomos con un sueldo de [UN RANGO DE EUROS QUE VARIA LIGERAMENTE, LA CIFRA INFERIOR ALGO MÁS DE 1000 y la SUPERIOR ALGO MAS DE 2000] EUR por semana.
Los requisitos de los aspirantes son: edad de 18 a 55 anos, hombres y mujeres, residentes en Espana y Portugal o en los paises vecinos, el acceso a Internet y correo electronico.

Para mayor informacion complete, por favor, los datos siguientes, y invielos al correo electronico, expuesto mas abajo.
1. Apellido, nombre.
2. Edad.
3. Pais de residencia.
4. Movil.

Envie los datos a la direccion [UNA DIRECCIÓN DE CORREO]

Dentro de 1-3 jornadas laborales recibira una descripcion detallada. Nuestra propuesta es valida hasta [UNA FECHA]
Por favor, envie a la direccion indicada solo la informacion necesaria, y nada mas.

[UNA FORMULA DE DESPEDIDA VARIABLE]

En cuanto a la fecha de validez, en realidad sólo tengo dos distintas: el 5 y el 25 de dicimbre; el 5 en dos de ellos (los dos del día 7, o sea, con la fecha pasada en realidad) y el 25 en el resto (que son dos del día 9 y dos del 15).



MODELO 2:

Pertenecen a este modelo 8 de las 15 ofertas que recibí.

El asunto es variable, los que yo recibí fueron: "crecimiento de carrera", "trabajo alejado para usted. 900 EUROS en 5 días", "se buscan managers regionales", "cooperación con la gran compania", "vacancia abierta", "ocupación parcial", "oferta para los residentes en españa" y "¡Hola!" (nótense las coincidencias con los posibles asuntos el modelo anterior).

En teste caso, el texto tiene menos variables que el anterior: sólo cambia la dirección de correo.


Buenos dias!

Nuestra empresa internacional propone probar sus posibilidades en el puesto de "Gerente regional".
Nuestra empresa ofrece los servcios bancarios y de finanzas por todas partes del mundo.
La vacante sobreentiende una ayuda en tranferir medios de nuestros clientes.

Los deberes de la vacante: Es necesario tener una cuenta bancaria, verificar su correo elecronico o directamente su cuenta,
dirigirse al banco, retirar dinero en efectivo y enviarlo a travez del sistema
de transferencias de dinero segun las demandas de nuestros clientes.

Su salario seria 1300 euros al mes + 5 por ciento de comision por cada transferencia hecha,
durante primeras dos semanas, periodo de prueba, todo su trabajo seria bajo la ayuda del gerente mas profecional.

En caso si Ud. esta interesado en colaborar con nosotros y desea obtener la informacion mas amplia de vacante,
por favor, envie sus dados de contacto al correo: Gervasio@eu-trabajo.com es decir:
1. Nombre y Apellido
2. Edad
3. Telefono (junto con codigo)
4. Ciudad
5. Pais
Atencion: la oferta presente es actual solo para los ciudadanos de Espana.



Pero ¿qué es lo apasionante de esto? Pues las direcciones de correo de los dos primeros modelos. En casi todas (13 de 15) son de un mismo dominio: eu-trabajo.com; el cual, por el nombre, parece corresponderse con algo español (europeo y en castellano) y sobre empleo, ¿verdad? Pues la verdad es que dicho dominio está registrado a nombre de un particular... ruso... y sólo desde el día 3 de diciembre (comprobación). Pero, un momento... justo las 2 restantes, las distintas, son las de los últimos 2 correos que he recibido... qué curioso ¿verdad? y además con un nombre de dominio muy del estilo: trabajo-cv.com ¿será del mismo tío? Bingo, del mismo tío, y registrada desde el día 14 de diciembre, ¿qué curioso, verdad? ¡justo un día antes de que me lleguen los correos con esas direcciones!

Pero cuidado, tampoco significa que ese tío sea el "delincuente" ¿sería demasiado fácil no os parece? A partir de aquí me pierdo porque no tengo los conocimientos necesarios, pero seguro que habrá formas de falsificar una identidad para dar de alta dominios bajo nombres falsos, si no fuese así, no existiría el crimen informático.

Y se me olvidaba comentar sobre los supuestos remitentes de estos correos. En varios de los casos, aparentemente, soy ¡yo misma! Y en la mayoría otras direcciones de yahoo.es de gente que no conozco en absoluto. Pero esto es "aparentemente". En realidad, existe una cosa (por supuesto ilegal, o al menos ilícita, no lo tengo claro) llamada spoofing, (en este caso Mail Spoofing) que consiste en enviar un email de tal forma que la dirección del remitente que le aparece al receptor no es realmente la del emisor inicial. La verdad es que no sé muy bien cómo va este tema del spoofing, me refiero a cómo se hace, técnicamente hablando, y todo eso; pero sí sé cómo detectarlo: comprobando las cabeceras completas de los correos electrónicos.

Para VER las cabeceras completas de los correos, lo que hay que hacer depende de qué programa o página uses tú. Por ejemplo, con el Thunderbird (el gestor de correo de escritorio que yo uso para el trabajo), en la pantalla de lectura del mensaje, en la esquina superior derecha, debajo de los botones y de la fecha, hay un desplegable que pone "otras acciones", y una de esas otras acciones es "ver código fuente", que es la que habría que usar. En la web de correo de Yahoo! (la que yo uso para el correo personal), en la barrita de herramientas de mensaje (la lista de botones, "eliminar", "responder", "reenviar", etc...), el botón más a la derecha es "Acciones", y al hacerle click una de las acciones que despliega es "ver encabezado completo". Para otros gestores de correo u otras webs, tendréis que Googlear.

Lo hagáis como lo hagáis, obtendréis algo parecido a esto (el código fuente el último de éstos recibido, cambiadas las direcciones de correo por xxxxxxxxx@yahoo.es):


From pcwall-secured@yahoo.es Wed Dec 15 12:02:09 2010
X-Apparently-To: pepajul@yahoo.es via 87.248.110.214; Wed, 15 Dec 2010 12:02:09 +0000
Return-Path: <xxxxxx@yahoo.es>
X-YahooFilteredBulk: 46.130.66.61
Received-SPF: none (mta1019.mail.ird.yahoo.com: domain of xxxxxxx@yahoo.es does not designate permitted sender hosts)
X-YMailISG: Mk8UrdQcZAo0XZwpwhnEVwtk8D7Qc2S4O30EePrvW.M5z42n
9.hnnK3jrCVuh8KG1tKkedWO2POioWvNvhsrzR9ci2Roy9XYkHMrY0jxfZZ2
AopsOvfe7jRm1sdc8_Q8mYJ5a3Lnh2JEJW5lTZQYdW4DC3rFwD34PCTYMGbs
_kTeN.iA.dUKxT_DaqVyFDv8.Ex8W5YnOd5KBIrjsg0bv6x1sxzsTv0mJJOR
N2ieWJvZ_lpocO4ViD.oMWVfIFyGkHy9XB2r_B_MBro894aO62ujnPM7RbwJ
kmtcFQ8qIdWF7OgZcQVUL7dwMem.iOI6Lk7uMfP1KA3GOS.852.xR0LXRZXi
veb7OgUCxtFRGZEfWNVdYK_lgvBAMiwex_rPVQy.Fa1DTnbJKV7REYFmvWxe
J3RhzwjBzCmATZTcnb4Y7ipAW0xNXyQrKv2.JcvOs2E9Pu6ecgN7hPJCo1pJ
zTrPrkbMLffBUx2uVq351_DUKS9CJKe7jIPhZk49AHTjrzFJ6rOhCQWjvBY9
Mac6enmC17gErueYqxA.XkpayuGxQNtbtmMLDuKS9MVvyOdSluu3.1VhwbDz
pJmgIqcwvkusVQioykIGnxOgxwhZz4KCiBInFBR3AEKd7NQ7p_D90_rF3KxG
Vto4SBJ_IP4VJYDTzUYL1IBfq6UgdEBGID_lcI0bwuJXAlJ8gx3khiwo7y3z
Uj2d8F4_LFfp6OmVnCTDaojHSwXoTnQ7xtIUKgSlw8Sk8yyEEqslGxMezvAb
.ahATToFyAOICDT0cevQWVV_5X6q4f5r.egRo0qAT4ZUfKkAgohP9ywmtVkX
6aFiIsQ12BOCrYqdO4QgziFNdFOArcl7BatdtaJvywjeQjC86PlizDzFkHxk
RpG.SHKW5UCIHxKYTspODkMhhY1SVjdwgDTIN9wPOEBmwch9JyLw_.WnGbZD
KT11vfvDUAG3Jqx4W3U8nmOmwG7Qqj5ebc3cqt1ScZDaJStVkAwlkkVv5eyn
ARRKNOd9fZnANaMNl53CoS79tm0EtIBKcCaAzEwtT3Jt1BYS9rOaCcg_Ciw5
7nKslGK9XfnAJAG.nEfyzIWC_98mp.3iu5F2GdMJA1X9UTDSqn3lazYDZUsp
0pjrXF.pH5a2Zv4S3syjBmG_
"X-Originating-IP: [46.130.66.61]
Authentication-Results: mta1019.mail.ird.yahoo.com from=; domainkeys=neutral (no sig); from=yahoo.es; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO 61.66.130.46.in-addr.mts.am) (46.130.66.61)
by mta1019.mail.ird.yahoo.com with SMTP; Wed, 15 Dec 2010 12:02:00 +0000
Received: from 46.130.66.61 (account 0f01fa0a@kkipc.com HELO gjhfhb.ojgipizfpkc.tv)
by 61.66.130.46.in-addr.mts.am (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 660003071 for pcwall-secured@yahoo.es; Wed, 15 Dec 2010 15:01:57 +0300
To: <xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>

Subject: Le saludo!
From: <xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Content-Length: 999


Yo no conozco al dedillo todo el protocolo de los emails, pero lo poquito que sé es que lo que va al principio de todo es lo "aparente", lo que sale como remitente y destinatario(s) a primer golpe de vista al recibir el correo; y lo último es lo de verdad (el que realmente lo envió y realmente a quién ponía que iba el correo en origen). En este caso he resaltado lo más importante: la IP originadora (tag "X-originating-IP, justo después del churro de letras que representa la firma del mensaje), que es la 46.130.66.61, que está en....

La Isla de Man (que poco tiene que ver ni con españa ni con Rusia)
Vía: http://www.adslayuda.com



Mientras que lo que pone luego en el Received From (que se supone que es el usuario y equipo desde el que se envió de verdad de la buena), a mi entender no tiene demasiado sentido: "0f01fa0a@kkipc.com", que debería ser la cuenta de correo del supuesto emisor (y aún me apostaba algo a que ni siquiera existe dicha cuenta, aunque sí el servidor), pertenecería al dominio "kkipc.com", cuyas máquinas parece ser que se localizarían en Malasia; y "gjhfhb.ojgipizfpkc.tv", que debería ser la máquina física esde la que se habría enviado, estaría en el dominio "ojgipizfpkc.tv", que no está registrado (¿no existe?). Insisto en que no controlo mucho del tema, pero a mí me huele a virus en las máquinas del dominio Malayo, o en algún equipo de la Isla de Man.

Localización del dominio kkipc.com
Vía: http://www.adslayuda.com

Yo creo que está más que claro que muy legales no parecen estas ofertas, no creo que sea ya necesario darle muchas más vueltas, y como ya estoy un poco cansada de escribir, casi que os remito a un interesante artículo en El País sobre el tema de las ofertas de empleo falsas, sus tipos y peligros. Para los vagos les copio un extractillo en el que se describe el que, a mi modo de ver será, a todas luces, el tipo de, al menos, el modelo 2:

Mediadores. Esta técnica consiste en hacer creer al usuario que ganará mucho dinero actuando como mediador en transacciones internacionales. Para ello debe recibir transferencias en su cuenta bancaria y reingresar el dinero en otro número de cuenta quedándose con una pequeña comisión. Así, actúa sin saberlo como mulero en un negocio de blanqueo de dinero que puede acarrearle consecuencias penales.


Así que ya lo sabéis: muchísimo cuidado con lo que os creéis, por favor, porque con algo así ¡puedes acabar en la cárcel!

Y no pretendo crear alarma ni que se lo reenviéis a todos vuestros contactos, sólo no creeros nada cuando alguien os ofrezca euros a 90 céntimos; por lo general, os quedaréis sin los 90 céntimos... Y a todo esto, por si no lo habíais identificado, estamos ante un caso de Scam, en lugar de Spam o Hoax, porque existe intento de estafa de dinero.


PD: durante la redacción de este correo recibí otros 4 más del mismo tipo, todos ya con direcciones de correo de dominio trabajo-tv.com.

NOTA: mis disculpas por toda la verborrea técnica, algún día me curraré un vocabulario temático y lo pondré en las páginas.

12 comentarios:

  1. qué fuerte, cómo te lo curras! lo del mapita de las ips no sabía que existía voy a jugar un poco con eso gracias! :)

    ResponderEliminar
  2. Jejeje, si que mola lo del mapita, si, a mí por lo menos me vicia un montón :D. Pero ojo porque no es del todo fiable... en informática casi nada lo es, por eso hay unidades especiales para los delitos informáticos!

    ResponderEliminar
  3. Muchas gracias, ya me olian mal a mi tambien, por eso lo puse en correo no deseado, pero hoy al ver lo abultada que estaba esa carpeta decidi verla , 45 mensajes en una semana de los cuales muchos de ese dominio eu-trabajo.com, pero hay otros que huelen igual de mal, provenientes de un supuesto mensaje del famoso FaceBook, dice asi:

    New Message‏
    11/12/2010
    Responder ▼
    FaceBook
    Agregar a contactos
    Para rojasdaniel@hotmail.com
    De: FaceBook (css@ixpyzteyx.com)
    Enviado: sábado, 11 de diciembre de 2010 01:41:26 p.m.
    Para: rojasdaniel@hotmail.com

    Aunque ese destinatario, no soy yo ese tal rojas daniel, y el emisor cuyo dominio ixpyzteyx.com
    no tiene nada que ver con Facebook.

    Es primera vez que entro a tu blog y me gusto, te felicito por que asombra como has seguido la pista a los tramposos, un beso grande y chao.

    ResponderEliminar
  4. Gracias a ti por pasarte y comentar, Jose :)

    Del mensaje que pones, la verdad que no entendí muy bien si lo que has puesto es el contenido en sí, o sólo los encabezados... si eso es el contenido, es uno de los mensajes mas raros que he visto! XD Y no, no lo conozco, pero cuando pueda intentaré echarle un vistazo (no prometo nada, que me esperan unas semanas muy ocupadas y es posible que no publique, o que lo que publique sea de poco investigar).

    Un abrazo!

    ResponderEliminar
  5. Chica, alucinada me tienes. Me suena eso a chino mandarin, aunque me pasa como a Geminis, me ha encantado lo de el mapa de ips, me lo guardaré para investigar un poco, claro, si logrosaber las ips de algunas personas que me interesan...
    Besucos.

    ResponderEliminar
  6. Queli, no puedes saber la "IP de una persona" :P, las IPs se corresponden con ordenadores (en realidad con redes de ordenadores: si tienes mas de un ordenador en casa, entre ellos utilizan IPs distintas, pero hacia afuera, hacia internet, muestran todos la misma, la IP de tu conexión a internet, por decirlo así). Es decir, dependen de a qué línea estén enchufados: yo si me pillo el portátil y me voy de viaje a Escocia (o de paseo a la zona wifi de mi centro comercial de cabecera), no me cogerá la misma IP que en casa. También varía en función del proveedor de internet: si tengo la adsl con telefonica y me cambio a ono, a lo mejor me mantienen el numero de telefono (ni idea), pero seguro que no me mantienen la IP; incluso, dependiendo también del tipo de conexion que tengas, a lo mejor tienes siempre la misma, o a lo mejor te cambia cada vez que reincias el router; y si te conectas como antaño con un módem, cambia cada vez que te conectas. De todas formas, siguen un patrón (como los prefijos de teléfonía, pero más complicado), por eso se pueden localizar geográficamente.

    Si quieres saber cual es tu IP en un momento dado, hay muchas páginas web que te la muestran, por ejemplo http://www.cual-es-mi-ip.net/ o http://www.cual-es-mi-ip.eu/ (puedes probar con varias paginas, busca en google por "cual es mi ip" y verás).

    Por ejemplo, la mía del trabajo es fija y es la 193.144.63.50.

    La de mi ordenador de casa ahora mismo es la 69.65.19.117. Es variable, pero tengo instalado un programita que le asocia un nombre y la mantiene publicada actualizada, para poder conectarme al ordenador desde fuera de casa aunque no sepa cual es la ip en un momento dado (me conecto por el nombre que yo le he puesto).

    Pero la IP de una persona particular que conozcas, normalmente no vas a poder saberla, como mucho la que tenia el equipo desde el que te envió un correo en el momento en que te lo envió (mirando los encabezados completos del mail como comento en la entrada del blog) o se conectó a tu página (esto no sé como se hace exactamente, pero el mapita de visitas que yo tengo en los blogs es lo que hace, basarse en la ip de las conexiones para geolocalizar las visitas).

    Gracias por pasarte!

    ResponderEliminar
  7. Ya, ya me dí cuenta anoche, que intenté buscarlo y terminé por dejarlo, que no tengo tu paciencia ni se demasiado de estas cosas... me conformaré con cambiar de vez en cuando el fondo de mi blog y añadir algún cacharrito nuevo, que eso si se me da bien, ajajajajaja.

    ResponderEliminar
  8. jejeje, pues por ahi se empieza :D Hay que ir aprendiendo poco a poco! :D

    ResponderEliminar
  9. Vaya investigación tan detallada y profesional. Yo he estado recibiendo unos correos... me ofrecen nada menos que 3500 euros al mes (jaja!) pero vienen de distintas direcciones que he buscado en Facebook y parece que son personas de verdad... pues les mandé mensajes a través de FB preguntándoles por esa oferta... pero nadie me ha contestado...

    ResponderEliminar
  10. ZuciMosc, gracias por pasarte. Lo mas probable es que esas direcciones que has buscado sean de gente inocente a la que de alguna manera le han crackeado el mail. Ahora mismo no me puedo estender mucho en explicaciones (toy con un brazo roto y me cuesta escribir), pero vamos, yo no me creeria nada... mucho cuidado con estas cosas!!

    ResponderEliminar
  11. HOLA RECIBI UN CORREO DE ESTA DIRECCION Ascanio@espana-trabajos.com

    ResponderEliminar
  12. Con el blog de Cita Previa INEM
    tendremos muchos tips para conseguir una buena cita médica pronto.

    ResponderEliminar