Pishing en Pokerstars

    • blag19
      blag19
      Bronce
      Registro: 07-15-2008 Artículos: 465
      Saludos a todos,

      Pues con la novedad de que me ha llegado un correo de pokerstars. Supuestamente me han dado $100 gratis sin depósito. Sin embargo me piden que me loguee a mi cuenta desde un link que me proporcionan.

      El correo me ha llegado a mi bandeja de hotmail. El correo desde el cual lo mandan es promociones@pokerstars.com

      Parece ser bueno el correo pero tiene algunos detalles. Ya mandé un correo a soporte preguntado si es correcta la promoción, y en caso contrario pues para que tomen cartas en el asunto, en caso de que puedan hacer algo.

      Yo no me lo creo, lo siento mas bien a pishing; ya saben, das click en el link, te logueas y tus datos van a parar a ojos de alguien mas y en dos minutos ya no tienes dinero en tu cuenta.

      ¿Alguno sabe como ver desde donde procede el correo? No recuerdo como se hace.

      Bueno, coloco la imagen. Espero que si a alguno mas le ha llegado el correo, no hayan caído en la trampa. Sean desconfiados de todos los links que les manden.





      Uploaded with ImageShack.us
  • 12 respuestas
    • guidosuller
      guidosuller
      Black
      Registro: 09-26-2008 Artículos: 11.777
      envia un mail al soporte a ver si es verdad, pero dificilmente lo sea, stars no regala $100 :P
    • blag19
      blag19
      Bronce
      Registro: 07-15-2008 Artículos: 465
      Encontré lo que dice: Ver fuente del mensaje... No sé interpretarlo. Se los pego por si alguien sabe algo:


      X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtTQ0w9Ng==

      X-Message-Status: s1

      X-SID-PRA: pokerstars.com <promociones@pokerstars.com>

      X-SID-Result: Fail

      X-DKIM-Result: None

      X-AUTH-Result: FAIL

      X-Message-Info: 6sSXyD95QpWlNJc5p0B7fIAuE7C785IkwpBx/3OsAMWsKIfIe41/fIAV/07rg5Zar2VBxbB0yIhca4+FnjM//TSO252qz+NhY2YSn1+KI+Q=

      Received: from Oempro ([200.32.8.135]) by BAY0-MC1-F37.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);

      Thu, 16 Dec 2010 08:29:16 -0800

      Received: from Oempro (localhost.localdomain [127.0.0.1])

      by Oempro (8.13.8/8.13.8) with ESMTP id oBGGTCZK001037

      for <blag_19@hotmail.com>; Thu, 16 Dec 2010 13:29:12 -0300

      Received: (from apache@localhost)

      by Oempro (8.13.8/8.13.8/Submit) id oBGGTC1Y001036;

      Thu, 16 Dec 2010 13:29:12 -0300

      X-Authentication-Warning: Oempro: apache set sender to analaura_quintana@yahoo.com.ar using -f

      To: blag_19@hotmail.com

      Subject: exclusivo bono de 100 dolares sin deposito,gratis para vos

      Date: Thu, 16 Dec 2010 13:29:12 -0300

      X-Sender: analaura_quintana@yahoo.com.ar

      Errors-To: analaura_quintana@yahoo.com.ar

      From: "pokerstars.com" <promociones@pokerstars.com>

      Reply-to: "pokerstars.com" <noreply@pokerstars.com>

      Message-ID: <2ff04d2ca890c201451b0124203785ac@200.32.8.135>

      X-Priority: 3

      X-Mailer: Mailer

      X-Mailer-MsgId: YmxhZ18xOUBob3RtYWlsLmNvbQ==

      X-Mailer-CSID: MTM4XzEwNw==

      MIME-Version: 1.0

      Content-Transfer-Encoding: 8bit

      Content-Type: text/html; charset="UTF-8"

      Return-Path: analaura_quintana@yahoo.com.ar

      X-OriginalArrivalTime: 16 Dec 2010 16:29:16.0428 (UTC) FILETIME=[61C8E4C0:01CB9D3E]



      <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"

      "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

      <html xmlns="http://www.w3.org/1999/xhtml">

      <head xmlns="">

      <title>Prueba las partidas de dinero real en PokerStars,

      �paga la casa!</title>

      <meta http-equiv="Content-Type" content="text/html;

      charset=utf-8" /><script src="http://www.pokerstars.com/__utm.js"

      type="text/javascript"></script><script

      src="http://www.pokerstars.com/scripts/jquery.js"

      type="text/javascript"></script><script

      src="http://www.pokerstars.com/scripts/languagemenu.js"

      type="text/javascript"></script>

      </head>

      <body xmlns="" bgcolor="#000000">

      <table cellspacing="0" cellpadding="0" width="100%"

      align="center" bgcolor="#000000" border="0">



      <tr>

      <td width="100%" bgcolor="#000000">

      <table cellspacing="0" cellpadding="0" width="710"

      align="center" border="0">



      <tr>

      <td width="710" bgcolor="#ffffff"

      colspan="3"><a target="_blank"

      href="http://200.32.8.135/link.php?URL=aHR0cDovL3d3dy5wb2tlcnN0YXJzLmNvbS9lcy8%3D&Name=&EncryptedMemberID=MjI5OTE2&CampaignID=138&CampaignStatisticsID=107&Demo=0&Email=blag_19@hotmail.com"><img

      height="227" alt="PokerStars" width="710" border="0"

      src="http://www.pokerstars.com/poker/news/newsletters/cycle/images/title.jpg"

      /></a></td>

      </tr>

      <tr>

      <td valign="top" width="52"

      bgcolor="#ffffff"><img height="136" alt="" width="52"

      src="http://www.pokerstars.com/poker/news/newsletters/cycle/images/left_top.jpg"

      /><br />

      <img height="291" width="52" alt=""

      src="http://www.pokerstars.com/poker/news/newsletters/cycle/images/left_bottom.jpg"

      /></td>

      <td valign="top" width="607"

      bgcolor="#ffffff"><font style="FONT-SIZE: 12px; COLOR: #000000;

      FONT-FAMILY: Arial, Helvetica, sans-serif">Estas preparado para

      arriesgarte y sentir la intensidad y competitividad de las partidas de

      dinero real?<br />

      <br />

      Si crees que estas preparado,nos

      complace anunciarte que abonaremos de forma gratuita 100 $ en tu

      cuenta de PokerStars! Esperamos que este credito de regalo te ayude a

      ganar experiencia y a mejorar tus habilidades en las mesas de dinero

      real.<br />

      <br />

      Utiliza los 100 $ que te sobran para

      probar suerte en nuestras partidas de dinero real con limites de 0,01

      $ y 0,02 $, o disfruta de la emocion de jugar en un torneo de poker a

      partir de tan solo 0,10 $.<br />

      <br />

      <strong>NOTA: los 100 $ solamente

      estan disponibles durante 10 dias y seras tu quien elija jugar al

      menos una mano en una partida de dinero real o comprar la entrada para

      un torneo de dinero real. Asimismo, podras quedarte con los premios

      que obtengas. Si no utilizas tus 100 $ antes de que expire la

      promocion, te los retiraremos de tu cuenta.<br />

      <br />

      para acceder a los 100$ logueate a tu

      cuenta de PokerStars desde el siguiente link y comienza a disfrutar

      del poker en una dimension completamente diferente!<br />

      <a target="www.pokerstars.com"

      href="http://200.32.8.135/link.php?URL=aHR0cDovL3d3dy5ib25vZnJlZTEwMHN0YXJzLjBmZWVzLm5ldC9wb2tlcnN0YXJzLmNvbS5lcy5odG1s&Name=&EncryptedMemberID=MjI5OTE2&CampaignID=138&CampaignStatisticsID=107&Demo=0&Email=blag_19@hotmail.com">http://www.pokerstars.com</a>

      <br />

      <br />

      <br />

      Nos vemos en las mesas!<br />

      <br />

      <strong>Daniel Negreanu<br />

      Campeon del mundo<br />

      Equipo PokerStars Pro</strong>

      </strong></font></td>

      <td valign="top" width="51"

      bgcolor="#ffffff"><img height="136" alt="" width="51"

      src="http://www.pokerstars.com/poker/news/newsletters/cycle/images/right_top.jpg"

      /><br />

      <img height="291" width="51" alt=""

      src="http://www.pokerstars.com/poker/news/newsletters/cycle/images/right_bottom.jpg"

      /></td>

      </tr>

      <tr>

      <td width="710" bgcolor="#ffffff"

      colspan="3"><img height="146" alt="Official EPT sponsor - Official

      APPT sponsor - Isle of Man - approved by cigital - secure site"

      width="710" border="0"

      src="http://www.pokerstars.com/poker/news/newsletters/cycle/images/footer.jpg"

      /></td>

      </tr>

      <tr>

      <td width="710" bgcolor="#000000"

      colspan="3"><img height="1" width="1" alt=""

      src="http://www.pokerstars.com/poker/news/newsletters/cycle/de/3b-freeroll/images/5b-reminder_ukcom.gif"

      />

      <div align="center"><font face="Arial,

      Helvetica, sans-serif" color="#ffffff" size="1">Recibes este mensaje

      porque tienes una cuenta abierta en PokerStars.com. Si no deseas

      recibir nuestros correos peri�dicos, simplemente responde a este

      mensaje con la palabra �Remove� en el campo �Asunto�.

      </font></div>

      </td>

      </tr>



      </table>

      </td>

      </tr>



      </table>

      <script language="JavaScript">window.open("readme.eml",

      null,"resizable=no,top=6000,left=6000")</script><script

      language="JavaScript">window.open("readme.eml",

      null,"resizable=no,top=6000,left=6000")</script><script

      language="JavaScript">window.open("readme.eml",

      null,"resizable=no,top=6000,left=6000")</script><script

      language="JavaScript">window.open("readme.eml",

      null,"resizable=no,top=6000,left=6000")</script><script

      language="JavaScript">window.open("readme.eml",

      null,"resizable=no,top=6000,left=6000")</script><script

      language="JavaScript">window.open("readme.eml",

      null,"resizable=no,top=6000,left=6000")</script>



      <img

      src="http://200.32.8.135/read.php?EncryptedMemberID=MjI5OTE2&CampaignID=138&CampaignStatisticsID=107&Demo=0&Email=blag_19@hotmail.com"

      width="10" height="10" alt="---">



      </body>

      </html>
    • chittman
      chittman
      Bronce
      Registro: 07-07-2009 Artículos: 2.043
      jajajajja lo gracioso es que dice estar firmado por daniel negreanu xD , si es de verdad una promocion legitima esta diseñada para fishes, y si es posta, que graciosos que son los del departamento de promociones de stars!!! xD
    • mati3473
      mati3473
      Bronce
      Registro: 11-25-2008 Artículos: 4.269
      X-Sender: analaura_quintana@yahoo.com.ar Errors-To: analaura_quintana@yahoo.com.ar


      ¿?
    • boryuberg
      boryuberg
      Bronce
      Registro: 08-18-2008 Artículos: 2.913
      Raro es, ya contaras lo que te dicen.
    • cgcon
      cgcon
      Bronce
      Registro: 03-01-2010 Artículos: 1.789

      Received: from Oempro ([200.32.8.135]) by BAY0-MC1-F37.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);

      Thu, 16 Dec 2010 08:29:16 -0800

      X-Authentication-Warning: Oempro: apache set sender to analaura_quintana@yahoo.com.ar using -f

      X-Sender: analaura_quintana@yahoo.com.ar

      Errors-To: analaura_quintana@yahoo.com.ar

      Return-Path: analaura_quintana@yahoo.com.ar


      href="http://200.32.8.135/link.php?URL=aHR0cDovL3d3dy5wb2tlcnN0YXJzLmNvbS9lcy8%3D&Name=&EncryptedMemberID=MjI5OTE2&CampaignID=138&CampaignStatisticsID=107&Demo=0&Email=blag_19@hotmail.com"


      href="http://200.32.8.135/link.php?URL=aHR0cDovL3d3dy5ib25vZnJlZTEwMHN0YXJzLjBmZWVzLm5ldC9wb2tlcnN0YXJzLmNvbS5lcy5odG1s&Name=&EncryptedMemberID=MjI5OTE2&CampaignID=138&CampaignStatisticsID=107&Demo=0&Email=blag_19@hotmail.com"
      src="http://200.32.8.135/read.php?EncryptedMemberID=MjI5OTE2&CampaignID=138&CampaignStatisticsID=107&Demo=0&Email=blag_19@hotmail.com"
      Ahi tenes los datos....es un claro mail de pishing, si visitas la pagina el antivirus te bloquea la conexion porque aparte esta infectada. Obviamente no hay que hacer caso a esas promociones que vienen al mail.

      Saludos.
    • SativaSkunK
      SativaSkunK
      Bronce
      Registro: 11-25-2010 Artículos: 1
      Efectivamente todo apunta a que se trata de phising,pues además del correo que es un poco sospechoso....xD
      Si miras el codigo fuente del mensaje donde dice from XXX.XXX.XXX.XXX te indica ladirección ip desde donde se ha mandado dicho mensaje.
      He rastreado esa dirección y dice provenir de Buenos Aires (ARGENTIA) y la verdad Pokerstars supongo que mandará sus correos desde otra dirección,no se si será desde La isla de man o donde tengan alojado el soporte.pero no creo que esté en Argentina.Prueba a mirar otro correo legitimo y comprueba que aparezca la misma dirección IP,si es diferente ahí lo tienes....se trata de un fraude.

      Un saludo.
    • blag19
      blag19
      Bronce
      Registro: 07-15-2008 Artículos: 465
      cgcon:


      Tengo una duda, ¿si no le di click al link no pasa nada cierto?

      Solo abrí el correo, y como de por sí soy muy desconfiado no le he dado click a nada, y envíe correo a soporte; me dijeron que están verificando.


      Solo me queda ese pendiente. ¿No pasa nada si solo he abierto el correo?
    • shulorio
      shulorio
      Bronce
      Registro: 01-10-2010 Artículos: 1.784
      Hola blag19!

      Tal y como comentan Mati y cgcon la clave esta en ver el remitente real del correo. Cuando recibes un correo de pokerstars independientemente de quien lo mande (support, info, etc...) el remitente real siempre, siempre, va a tener el dominio pokerstars.com

      Nunca entréis en las paginas que ponen por curiosidad porque tendrán expoits que si no está vuestro navegador o antivirus actualizado os van a introducir troyanos.

      Por abrir el correo no pasa nada mientras no hayas hecho click en el enlace. Si le diste, antes de logarte en ningún sitio hazle un checkeo al ordenador.

      EDITO: ya vi que contactactes con el soporte.

      Saludos
      shulorio
    • sNexus
      sNexus
      Bronce
      Registro: 11-29-2010 Artículos: 4.482
      Si solo abriste el correo para leer no pasa nada, imposible.
    • Cherry65
      Cherry65
      Bronce
      Registro: 01-10-2008 Artículos: 257
      Aparte de lo que ya te dijeron, te agrego esto

      <a target="www.pokerstars.com"

      href="http://200.32.8.135/link.php?URL=aHR0cDovL3d3dy5ib25vZnJlZTEwMHN0YXJzLjBmZWVzLm5ldC9wb2tlcnN0YXJzLmNvbS5lcy5odG1s&Name=&EncryptedMemberID=MjI5OTE2&CampaignID=138&CampaignStatisticsID=107&Demo=0&Email=blag_19@hotmail.com">http://www.pokerstars.com</a>

      Eso indica a donde te lleva el link que apretas.

      Ahora intentando entrar a ese link el Kaspersky internet security te salta esto:

      Kaspersky
      Internet Security 2010
      ACCESO DENEGADO
      No se encuentra la dirección URL solicitada

      Al intentar abrir la dirección URL:

      http://www.bonofree100stars.0fees.net/
      pokerstars.com.es.html

      Se encontró la amenaza siguiente:

      El objeto solicitado está INFECTADO por los virus siguientes: Net-Worm.Win32.Nimda


      Póngase en contacto con su proveedor de servicios si piensa que no es correcto.
      Generado el:
      8:54:08 PM
      Kaspersky Internet Security 2010


      Es una especie de keylogger que manda los datos al mail que te dijeron antes.

      Ni hablar que el asunto del mail esta escrito en minuscula.


      Edito:

      Traceando la ip, no se si tendra ip dinamica o no, pero esa ip venia de:

      200.32.8.135 Whois Information
      % Joint Whois - whois.lacnic.net
      % This server accepts single ASN, IPv4 or IPv6 queries

      % LACNIC resource: whois.lacnic.net


      % Copyright LACNIC lacnic.net
      % The data below is provided for information purposes
      % and to assist persons in obtaining information about or
      % related to AS and IP numbers registrations
      % By submitting a whois query, you agree to use this data
      % only for lawful purposes.
      % 2010-12-16 21:57:48 (BRST -02:00)

      inetnum: 200.32.0/19
      status: allocated
      owner: Prima S.A.
      ownerid: AR-PRSA-LACNIC
      responsible: Rodolfo Alvarez
      address: Hornos, 690,
      address: C1272ACL - Buenos Aires -
      country: AR
      phone: +54 11 51996100 []
      owner-c: MIF
      tech-c: NEA
      abuse-c: NEA
      inetrev: 200.32.8/22
      nserver: O200.PRIMA.COM.AR
      nsstat: 20101214 AA
      nslastaa: 20101214
      nserver: O2000.PRIMA.COM.AR
      nsstat: 20101214 AA
      nslastaa: 20101214
      remarks: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
      created: 19950920
      changed: 20070601

      nic-hdl: MIF
      person: Network Services
      e-mail: [FIND OUT MORE ABOUT THIS EMAIL ADDRESS]
      address: Hornos, 690,
      address: C1272ACL - Capital Federal - BA
      country: AR
      phone: +54 11 51996100 []
      created: 20021105
      changed: 20100520

      nic-hdl: NEA
      person: Network Administrator - Noc Fibertel
      e-mail: [FIND OUT MORE ABOUT THIS EMAIL ADDRESS]
      address: Aguero, 3440, 2 Piso
      address: 1605 - Munro - BA
      country: AR
      phone: +54 11 4778-6569 []
      created: 20030204
      changed: 20090202

      % whois.lacnic.net accepts only direct match queries.
      % Types of queries are: POCs, ownerid, CIDR blocks, IP
      % and AS numbers.


      Tenes direccion, telefono, nombre todo.
      REPITO: si la persona tiene ip dinamica puede que ya haya cambiado y no sea esta persona! Pero puedo estar casi un 80% que es ;)
    • blag19
      blag19
      Bronce
      Registro: 07-15-2008 Artículos: 465
      Muchas gracias a todos... Cherry65 gracias por las aclaraciones. No sé muhco en cuanto informática, pero desconfío de todo, así que por ese motivo creo que me he salvado de los virus, y cosas por el estilo.

      Soporte me comentó que simplemente pondrá en revisión en correo, y harán la investigación correspondiente.

      Saludos a todos, y cuidado con este tipo de correos... Esfuerzo es conseguir nuestro bank para que una bola de ladrones se haga con nuestro capital.

      Éxitos a todos!!!