OVH Cloud domain name expiration

OVH Cloud caducidad de nombre de dominio

Safe TICPhishing

Suplantación de OVH Cloud notificando una caducidad de nombre de dominio falsa

Los intentos de robo de datos bancarios parten desde cualquier excusa plausible para conseguir que el usuario pague algún producto o servicio.

En el caso de OVH Cloud que nos ocupa, la llamada a la acción es la supuesta caducidad (a veces llamada expiración por anglicismo) de un nombre de dominio que se supone que tenemos registrado en OVHCloud.

Como no nos cansaremos de repetir, la primera línea de defensa es nuestro propio sentido común.

¿Realmente tenemos un nombre de dominio registrado en OVH Cloud?

Esa sería la primera pregunta que cualquiera debería hacerse.

Dirección del remitente OVH Cloud

Este punto es realmente simple pero ilustra perfectamente la intencionalidad y simplicidad que suelen encontrarse en estos casos de ingeniería social basada en la lectura rápida y la falta de criterio.
Copiamos la dirección del remitente, que aparenta ser el servicio oficial de OVHCloud. Puede verse claramente en la imagen destacada que ilustra este caso. OVHcloud, sin duda. Sin embargo, vamos a ver qué sucede cuando tomamos la dirección de correo tan aparentemente inocente y la pasamos por diversos procesadores de texto:

Editor de texto Wordpress: 0VHcloud.com <[email protected]> (¿por qué la "O" mayúscula se convierte en una "o" minúscula?)

Editor de texto plano sin formatos: 0VHcloud.com <[email protected]>

Queda claro que la primera letra no es una "O", ni siquiera es una letra: ¡es un cero! Pero visualmente pasa totalmente por la marca OVH Cloud. La trampa superará algunos filtros por este pequeño cambio.

Seguimos la pista a la trampa del ciberdelincuente

El dominio de la web a la que se accede es casabaltazar.pt (IP 94.126.169.147) , pero la trampa está realmente establecida en el subdominio http://c6d68.casabaltazar.pt/ (IP 23.90.145.253)

La IP del subdominio trampa corresponde a Zenlayer en EEUU, la compañía anuncia públicamente que contiene bogons en su subred, es decir que reconocen la existencia de rangos de IP no controlados por organismos oficiales como IANA. Los ciberdelincuentes suelen usar estas lagunas creadas desde un interés malicioso para provocar ataques DDoS o fraudes como el que analizamos hoy.

Literal del mensaje

Dear customer,
Your domain name XXX is due to expire today !
Expiry date : 2022-08-1
Deadline for renewal : 2022-08-06 before 09:00 PM (CET/CEST)
Your domain is now in "Pre-closing" status during which we maintain, free of charge, your domain in
order to allow you enough time for the renewal. However, after this period, your domain shall be deleted.
In order to keep your domain, you will have to renew it before 2022-08-6 09:00 PM (CET/CEST).
In order to facilitate this renewal process, we have created the purchase order 30007354. This order can eventually
include any other services expiring on the same date and is available at the following address:
Pay now
For any further information, feel free to contact our support.
The OVH team

Agradecimientos

El tiempo y recursos para investigar y publicar estos casos reales de scams o fraudes online y otras ciberamenazas provienen de contribuciones de Pymes locales.