En los últimos días, estoy recibiendo correos con una modalidad de phising que no me había encontrado anteriormente. El correo en cuestión dice así:

Trabajos.com

OFERTA DE EMPLEO Nº 233215S132

Nuestra empresa acaba de recibir una oferta a nivel nacional de trabajo .
Necesitamos cubrir con urgencia varios puestos de trabajo fijo en todas las provincias de España.

La empresa busca auxiliares para gestión financiera.
Para poder optar a la selección usted necesita cumplir los siguientes requisitos.

Mayoría de edad.
Documentación española en regla.
Teléfonos fijo y móvil.
Acceso a Internet y conocimientos informáticos a nivel usuario.
No es necesaria experiencia previa.
Horario de mañanas.

La empresa ofrece lo siguientes beneficios.

Salario fijo.
Comisiones diarias.
Contrato laboral tras la superación del periodo de prueba.
Gastos cubiertos.
Contrato indefinido tras el periodo de prueba.

Si cumple los requisitos, y le interesa la oferta, debe usted enviar con urgencia su Currículo actualizado a el siguiente email.
cv@empleo-for-spain.com

Una vez recibido su Currículo , la empresa le contactará vía email directamente para facilitarle toda la información al respecto.

Le deseamos mucha suerte.

Cordialmente.
Departamento de recursos humanos.

Al verlo, lo primero que sospeché fue spam, teniendo en cuenta que si bien si, estoy dado de alta en el portal de empleo de la primera línea, resulta, como poco raro que no se mencione el nombre de la empresa destino (o de la agencia o consultoría de selección), salvo una sutil mención a su dirección de correo electrónico. Las sospechas aumentan si tenemos en cuenta que el correo dice provenir de una dirección mbest@pogcc.org, que no coincide con la del portal de trabajo ni con el de la supuesta empresa destino (raro y además cutre… es que no sabéis en lugar de insertar un reply-to un FROM en condiciones?)

Pero seguimos investigando:
El dominio del FROM pogcc.org corresponde a Point Of Grace Community Church, que según he visto corresponde a una comunidad religiosa americana. ¿La relación de una comunidad religiosa con una oferta de trabajo? Yo no la encuentro.

El dominio de la dirección del reply-to corresponde supuestamente con una empresa de transporte de carne y piensos animales. Revisamos su código fuente para ver si vemos algo raro…
¡UIS! Que cosas, la introducción en hace referencia a otro dominio…. aunque mal escrito (por aquello de los espacios)

<embed src="introduccio.swf" tppabs="http://www.gGanado y Piensos.com/swf/introduccio.swf" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash" width="950" height="480">          </embed> 

De todo modos buscamos la pate de contenido de ese supuesto dominio gGanado y Piensos

Que curioso… el segundo resultado tiene un título idéntico al de nuestra web sospechosa. Entremos a ver. Curioso… nuestra web es una copia casi idéntica de la del grupo Moltanbán… con una diferencia… en el caso de nuestra web no incluye el nombre del grupo en su logo.
Pero sigamos investigando, acudamos al whois:
Domain Name: EMPLEO-FOR-SPAIN.COM
Registrar: BIZCN.COM, INC.
Whois Server: whois.bizcn.com
Referral URL: http://www.bizcn.com
Name Server: NS1.FREEDNS.WS
Name Server: NS2.FREEDNS.WS

Así que tenemos un dominio registrado hace 4 días, bajo una empresa china(que raro suena estoooo) y alojada en un hosting gratuito (más raro aun si cabe)

Volvamos al correo y revisemos las cabeceras:

Return-Path: <mbest@pogcc.org>
Received: from mx.mundo-r.com (10.0.137.13) by ms3.mundo-r.ggc (8.5.121.04)
        id 4E927288026758BE for micuenta@mundo-r.com; Fri, 11 May 2012 05:35:33 +0200
Received: from gort.pair.com ([209.68.1.57])
  by mx.mundo-r.com with ESMTP; 11 May 2012 05:35:33 +0200
Received: from SERWER-KAMER (unknown [79.110.194.123])
	by gort.pair.com (Postfix) with ESMTPSA id 07B31AC801
	for <micuenta@mundo-r.com>; Thu, 10 May 2012 23:35:30 -0400 (EDT)
MIME-Version: 1.0
Date: Fri, 11 May 2012 05:35:44 +0200
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
Subject: Estas en el Paro?, tenemos trabajo para ti.
From: mbest@pogcc.org
Reply-To: PRUDENCIA@empleo-for-spain.com
To: micuenta@mundo-r.com

Seguimos juntando curiosidades:
Ahora resulta que tenemos tres dominios:
pogcc.org: Dominio origen aparentemente real del correo
empleo-for-spain.com: dominio falseado al que se quiere que llegue el correo de respuesta
y en las cabeceras vemos gort.pair.com. Si hacemos un whois al primer dominio vemos que es el registrar (y hosting) del mismo, con lo cual se confirma que proviene de esa dirección, y concretamente de su «dirigente», un tal (supuestamente) Mickey Best.

Solución: papelera
Reflexion post-borrado: ¿Cuál será la idea de esta gente al realizar estos envios? La unica idea que se me ocurre es la recopilación de direcciones de Internet para enviar spam… ¿Se os ocurre alguna finalidad alternativa a vosotros?