A veces me sorprendo de lo que descubro investigando para publicar cosas en Registro de Hoax. Hoy es uno de esas veces. Había pensado escribir un post con todas las supuestas ofertas de trabajo que recibo en el correo en una semana (a modo de ejemplo, por no estar publicando lo mismo periódicamente, pero que no fuese uno solo en plan sosaina) y cuando me puse a ello me di cuenta de las siguientes cosas curiosas:
De los 70 correos que tenía en el buzón de spam (repito: de una semana), 15 eran suculentas ofertas de trabajo. Lo cual llama un poco la antención con lo parado que está el mercado laboral, ¿no?
En realidad, de esas 15 ofertas de trabajo, solo una era "única": las otras 14 se podían reducir a 2 modelos. Y lo mejor de todo es de lo que me di cuenta cuando me puse a escarbar un poco más.
MODELO 1:Pertenecen a este modelo 6 de las 15 ofertas que recibí.
El
asunto es variable, los que yo recibí fueron: "message n.87", "ocupación parcial" (en dos casos), "vacancia abierta", "cooperación con una firma grande" y "buscamos a socios en españa".
El texto sigue el siguiente modelo, donde he puesto entre corchetes y con mayúsculas lo que varía (el resto es constante, en plan plantilla):
[UNA FORMULA DE SALUTACIÓN VARIABLE]
Nuestra compania admite los colaboradores autonomos con un sueldo de [UN RANGO DE EUROS QUE VARIA LIGERAMENTE, LA CIFRA INFERIOR ALGO MÁS DE 1000 y la SUPERIOR ALGO MAS DE 2000] EUR por semana.
Los requisitos de los aspirantes son: edad de 18 a 55 anos, hombres y mujeres, residentes en Espana y Portugal o en los paises vecinos, el acceso a Internet y correo electronico.
Para mayor informacion complete, por favor, los datos siguientes, y invielos al correo electronico, expuesto mas abajo.
1. Apellido, nombre.
2. Edad.
3. Pais de residencia.
4. Movil.
Envie los datos a la direccion [UNA DIRECCIÓN DE CORREO]
Dentro de 1-3 jornadas laborales recibira una descripcion detallada. Nuestra propuesta es valida hasta [UNA FECHA]
Por favor, envie a la direccion indicada solo la informacion necesaria, y nada mas.
[UNA FORMULA DE DESPEDIDA VARIABLE]
En cuanto a la fecha de validez, en realidad sólo tengo dos distintas: el 5 y el 25 de dicimbre; el 5 en dos de ellos (los dos del día 7, o sea, con la fecha pasada en realidad) y el 25 en el resto (que son dos del día 9 y dos del 15).
MODELO 2:Pertenecen a este modelo 8 de las 15 ofertas que recibí.
El
asunto es variable, los que yo recibí fueron: "crecimiento de carrera", "trabajo alejado para usted. 900 EUROS en 5 días", "se buscan managers regionales", "cooperación con la gran compania", "vacancia abierta", "ocupación parcial", "oferta para los residentes en españa" y "¡Hola!" (nótense las coincidencias con los posibles asuntos el modelo anterior).
En teste caso, el texto tiene menos variables que el anterior: sólo cambia la dirección de correo.
Buenos dias!
Nuestra empresa internacional propone probar sus posibilidades en el puesto de "Gerente regional".
Nuestra empresa ofrece los servcios bancarios y de finanzas por todas partes del mundo.
La vacante sobreentiende una ayuda en tranferir medios de nuestros clientes.
Los deberes de la vacante: Es necesario tener una cuenta bancaria, verificar su correo elecronico o directamente su cuenta,
dirigirse al banco, retirar dinero en efectivo y enviarlo a travez del sistema
de transferencias de dinero segun las demandas de nuestros clientes.
Su salario seria 1300 euros al mes + 5 por ciento de comision por cada transferencia hecha,
durante primeras dos semanas, periodo de prueba, todo su trabajo seria bajo la ayuda del gerente mas profecional.
En caso si Ud. esta interesado en colaborar con nosotros y desea obtener la informacion mas amplia de vacante,
por favor, envie sus dados de contacto al correo: Gervasio@eu-trabajo.com es decir:
1. Nombre y Apellido
2. Edad
3. Telefono (junto con codigo)
4. Ciudad
5. Pais
Atencion: la oferta presente es actual solo para los ciudadanos de Espana.
Pero ¿qué es lo apasionante de esto? Pues las direcciones de correo de los dos primeros modelos. En casi todas (13 de 15) son de un mismo dominio:
eu-trabajo.com; el cual, por el nombre, parece corresponderse con algo español (europeo y en castellano) y sobre empleo, ¿verdad? Pues la verdad es que dicho dominio está registrado a nombre de un particular... ruso... y sólo desde el día 3 de diciembre (
comprobación). Pero, un momento... justo las 2 restantes, las distintas, son las de los últimos 2 correos que he recibido... qué curioso ¿verdad? y además con un nombre de dominio muy del estilo:
trabajo-cv.com ¿será del mismo tío?
Bingo, del mismo tío, y registrada desde el día 14 de diciembre, ¿qué curioso, verdad? ¡justo un día antes de que me lleguen los correos con esas direcciones!
Pero cuidado, tampoco significa que ese tío sea el "delincuente" ¿sería demasiado fácil no os parece? A partir de aquí me pierdo porque no tengo los conocimientos necesarios, pero seguro que habrá formas de falsificar una identidad para dar de alta dominios bajo nombres falsos, si no fuese así, no existiría el crimen informático.
Y se me olvidaba comentar sobre los supuestos remitentes de estos correos. En varios de los casos, aparentemente, soy ¡yo misma! Y en la mayoría otras direcciones de yahoo.es de gente que no conozco en absoluto. Pero esto es "aparentemente". En realidad, existe una cosa (por supuesto ilegal, o al menos ilícita, no lo tengo claro) llamada
spoofing, (en este caso
Mail Spoofing) que consiste en enviar un email de tal forma que la dirección del remitente que le aparece al receptor no es realmente la del emisor inicial. La verdad es que no sé muy bien cómo va este tema del spoofing, me refiero a cómo se hace, técnicamente hablando, y todo eso; pero sí sé cómo detectarlo: comprobando las cabeceras completas de los correos electrónicos.
Para VER las cabeceras completas de los correos, lo que hay que hacer depende de qué programa o página uses tú. Por ejemplo, con el Thunderbird (el
gestor de correo de escritorio que yo uso para el trabajo), en la pantalla de lectura del mensaje, en la esquina superior derecha, debajo de los botones y de la fecha, hay un desplegable que pone "otras acciones", y una de esas otras acciones es "ver código fuente", que es la que habría que usar. En la
web de correo de Yahoo! (la que yo uso para el correo personal), en la barrita de herramientas de mensaje (la lista de botones, "eliminar", "responder", "reenviar", etc...), el botón más a la derecha es "Acciones", y al hacerle click una de las acciones que despliega es "ver encabezado completo". Para otros gestores de correo u otras webs, tendréis que Googlear.
Lo hagáis como lo hagáis, obtendréis algo parecido a esto (el código fuente el último de éstos recibido, cambiadas las direcciones de correo por xxxxxxxxx@yahoo.es):
From pcwall-secured@yahoo.es Wed Dec 15 12:02:09 2010
X-Apparently-To: pepajul@yahoo.es via 87.248.110.214; Wed, 15 Dec 2010 12:02:09 +0000
Return-Path: <xxxxxx@yahoo.es>
X-YahooFilteredBulk: 46.130.66.61
Received-SPF: none (mta1019.mail.ird.yahoo.com: domain of xxxxxxx@yahoo.es does not designate permitted sender hosts)
X-YMailISG: Mk8UrdQcZAo0XZwpwhnEVwtk8D7Qc2S4O30EePrvW.M5z42n
9.hnnK3jrCVuh8KG1tKkedWO2POioWvNvhsrzR9ci2Roy9XYkHMrY0jxfZZ2
AopsOvfe7jRm1sdc8_Q8mYJ5a3Lnh2JEJW5lTZQYdW4DC3rFwD34PCTYMGbs
_kTeN.iA.dUKxT_DaqVyFDv8.Ex8W5YnOd5KBIrjsg0bv6x1sxzsTv0mJJOR
N2ieWJvZ_lpocO4ViD.oMWVfIFyGkHy9XB2r_B_MBro894aO62ujnPM7RbwJ
kmtcFQ8qIdWF7OgZcQVUL7dwMem.iOI6Lk7uMfP1KA3GOS.852.xR0LXRZXi
veb7OgUCxtFRGZEfWNVdYK_lgvBAMiwex_rPVQy.Fa1DTnbJKV7REYFmvWxe
J3RhzwjBzCmATZTcnb4Y7ipAW0xNXyQrKv2.JcvOs2E9Pu6ecgN7hPJCo1pJ
zTrPrkbMLffBUx2uVq351_DUKS9CJKe7jIPhZk49AHTjrzFJ6rOhCQWjvBY9
Mac6enmC17gErueYqxA.XkpayuGxQNtbtmMLDuKS9MVvyOdSluu3.1VhwbDz
pJmgIqcwvkusVQioykIGnxOgxwhZz4KCiBInFBR3AEKd7NQ7p_D90_rF3KxG
Vto4SBJ_IP4VJYDTzUYL1IBfq6UgdEBGID_lcI0bwuJXAlJ8gx3khiwo7y3z
Uj2d8F4_LFfp6OmVnCTDaojHSwXoTnQ7xtIUKgSlw8Sk8yyEEqslGxMezvAb
.ahATToFyAOICDT0cevQWVV_5X6q4f5r.egRo0qAT4ZUfKkAgohP9ywmtVkX
6aFiIsQ12BOCrYqdO4QgziFNdFOArcl7BatdtaJvywjeQjC86PlizDzFkHxk
RpG.SHKW5UCIHxKYTspODkMhhY1SVjdwgDTIN9wPOEBmwch9JyLw_.WnGbZD
KT11vfvDUAG3Jqx4W3U8nmOmwG7Qqj5ebc3cqt1ScZDaJStVkAwlkkVv5eyn
ARRKNOd9fZnANaMNl53CoS79tm0EtIBKcCaAzEwtT3Jt1BYS9rOaCcg_Ciw5
7nKslGK9XfnAJAG.nEfyzIWC_98mp.3iu5F2GdMJA1X9UTDSqn3lazYDZUsp
0pjrXF.pH5a2Zv4S3syjBmG_
"X-Originating-IP: [46.130.66.61]
Authentication-Results: mta1019.mail.ird.yahoo.com from=; domainkeys=neutral (no sig); from=yahoo.es; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO 61.66.130.46.in-addr.mts.am) (46.130.66.61)
by mta1019.mail.ird.yahoo.com with SMTP; Wed, 15 Dec 2010 12:02:00 +0000
Received: from 46.130.66.61 (account 0f01fa0a@kkipc.com HELO gjhfhb.ojgipizfpkc.tv)
by 61.66.130.46.in-addr.mts.am (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 660003071 for pcwall-secured@yahoo.es; Wed, 15 Dec 2010 15:01:57 +0300
To: <xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>
Subject: Le saludo!
From: <xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>,
<xxxxxx@yahoo.es>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Content-Length: 999
Yo no conozco al dedillo todo el protocolo de los emails, pero lo poquito que sé es que lo que va al principio de todo es lo "aparente", lo que sale como remitente y destinatario(s) a primer golpe de vista al recibir el correo; y lo último es lo de verdad (el que realmente lo envió y realmente a quién ponía que iba el correo en origen). En este caso he resaltado lo más importante:
la IP originadora (tag "X-originating-IP, justo después del churro de letras que representa la firma del mensaje), que es la 46.130.66.61, que está en....
Mientras que lo que pone luego en el Received From (que se supone que es el usuario y equipo desde el que se envió de verdad de la buena), a mi entender no tiene demasiado sentido: "0f01fa0a@kkipc.com", que debería ser la cuenta de correo del supuesto emisor (y aún me apostaba algo a que ni siquiera existe dicha cuenta, aunque sí el servidor), pertenecería al dominio "kkipc.com", cuyas máquinas parece ser que se localizarían en Malasia; y "gjhfhb.ojgipizfpkc.tv", que debería ser la máquina física esde la que se habría enviado, estaría en el dominio "ojgipizfpkc.tv", que no está registrado (¿no existe?). Insisto en que no controlo mucho del tema, pero a mí me huele a virus en las máquinas del dominio Malayo, o en algún equipo de la Isla de Man.
Yo creo que está más que claro que muy legales no parecen estas ofertas, no creo que sea ya necesario darle muchas más vueltas, y como ya estoy un poco cansada de escribir, casi que os remito a un
interesante artículo en El País sobre el tema de las ofertas de empleo falsas, sus tipos y peligros. Para los vagos les copio un extractillo en el que se describe el que, a mi modo de ver será, a todas luces, el tipo de, al menos, el modelo 2:
Mediadores. Esta técnica consiste en hacer creer al usuario que ganará mucho dinero actuando como mediador en transacciones internacionales. Para ello debe recibir transferencias en su cuenta bancaria y reingresar el dinero en otro número de cuenta quedándose con una pequeña comisión. Así, actúa sin saberlo como mulero en un negocio de blanqueo de dinero que puede acarrearle consecuencias penales.
Así que ya lo sabéis: muchísimo cuidado con lo que os creéis, por favor, porque con algo así ¡puedes acabar en la cárcel!
Y no pretendo crear alarma ni que se lo reenviéis a todos vuestros contactos, sólo no creeros nada cuando alguien os ofrezca euros a 90 céntimos; por lo general, os quedaréis sin los 90 céntimos... Y a todo esto, por si no lo habíais identificado, estamos ante un caso de
Scam, en lugar de Spam o Hoax, porque existe intento de estafa de dinero.
PD: durante la redacción de este correo recibí otros 4 más del mismo tipo, todos ya con direcciones de correo de dominio trabajo-tv.com.
NOTA: mis disculpas por toda la verborrea técnica, algún día me curraré un vocabulario temático y lo pondré en las páginas.
