Portada cPanel Phishing cPanel «…has reached their disk quota» – Cómo Diferenciar un Email Falso de uno Legítimo
Cuando contratas un hosting en Hostinet te damos acceso a un panel de control cPanel o Plesk en algunos casos, pero mayormente cPanel.
Como todo panel de control, cPanel envía notificaciones al administrador o a las cuentas de email que nosotros definamos para recibir estos avisos.
Últimamente algunos usuarios están recibiendo un aviso, supuestamente de cPanel, indicando que el espacio ocupado en el disco de su hosting se está agotando.
Hay que tener mucho cuidado ya que se trata de una trampa phishing para facilitarle los datos de acceso a cPanel a un atacante y con ellos acceso a todos nuestros correos, webs y bases de datos.
El problema es que cPanel si que avisa a los usuarios cuando están llegando al límite del espacio en disco en el hosting, así que un usuario puede confundir el intento de phishing con un email legítimo de cPanel o viceversa.
Vamos a ver cómo podemos distinguir un aviso real de cPanel de uno falso, ya que hay varios puntos en los que podemos fijarnos para desechar o atender un email de cPanel.
En todos los casos de phishing se intenta engañar al usuario, para que realice una acción.
Esta acción puede variar, pero en la mayoría de los casos intentarán que facilites un dato sensible, como una contraseña, nombre de usuario, nº de cuenta bancaria, etc…
En el caso de este intento de phishing alertan de que estamos llegando al límite de espacio en disco con el texto: «WARNING The domain «midominio.info» has reached their disk quota».
La siguiente imagen corresponde a un email falso:
Y la siguiente imagen a un email legítimo:
Como verás son similares, pero no iguales y son estas diferencias las que nos servirán para distinguir el email falso del email real.
Lo primero que vemos es la diferencia en el nombre de usuario del hosting.
Si nos fijamos, en el email falso, no aparece el nombre de usuario por ningún sitio, mientras que en el email real, nos lo indica en todo momento (en la captura lo hemos ocultado por motivos de seguridad).
En el email falso:
En el email real:
El motivo es muy sencillo, el atacante no conoce el nombre de usuario del hosting, sólo el nombre del dominio porque es público, obviamente.
Puedes comprobar si el nombre de usuario indicado en el email corresponde con el de tu hosting desde el panel de cliente en Hostinet:
O desde el propio cPanel, una vez hayas accedido a él:
Otro punto en el que puedes fijarte es la cantidad de espacio ocupado en el hosting pero de verdad.
En el email siempre nos indicarán un porcentaje muy alto, siempre cerca del 100%:
De nuevo, si accedemos a nuestro panel de cliente en Hostinet.com o a nuestro cPanel, podemos comprobar el espacio en disco ocupado.
En el panel de cliente:
En cPanel:
En todos los casos de phishing se indica que hay que tramitar algo «lo antes posible».
En el email falso vemos un texto, que si lo traducimos dice esto:
Debe seguir el enlace a continuación para ampliar automáticamente la capacidad de su disco de forma gratuita tan pronto como sea posible para evitar la pérdida de archivos y correos electrónicos futuros. Utilice la herramienta Capacidad de disco en https://aprendemus.com:2083/?xxxxxxxxxxxxxxxxxxxx
Aquí vemos varias cosas que «chirrían» , como la opción de «aumentar la capacidad del disco de forma gratuita» y la amenaza de «perder archivos o correos» si no lo hacemos lo antes posible.
También nos ofrece un enlace «mágico» para solucionarlo al momento, lo que también es una señal de alerta.
Ahora veamos lo que nos indica el email legítimo:
Elimine algunos archivos de esta cuenta o aumente la cuota de disco de la cuenta.
Como veréis, un mensaje mucho menos llamativo pero mucho más creíble a todas luces.
Por último lo que podemos revisar es URL del enlace. Este dato es más relevante de todos, ya que nos muestra a que sitio web accederemos realmente si pinchamos en el enlace.
Hay que tener en cuenta que si en un enlace vemos escrito midomino.info, no significa que realmente vaya a la web midominio.info, ya que el texto puede enlazar a otro sitio web.
Por ejemplo, podemos enlazarlo con la web de Google, aunque el texto nos indique otra cosa: https://midominio.info/
En los navegadores actuales tiene la opción de comprobarlo si pulsas con el botón derecho sobre el enlace y buscas la opción de Inspeccionar o Inspeccionar Elemento.
Esto abrirá una parte del navegador que nos informará de dónde lleva realmente en enlace, en nuestro caso el email falso nos lleva a un dominio llamado netayel.co.il/xxxxxxx, que nada tiene que ver con el dominio o hosting:
En cambio, si lo hacemos lo mismo en el enlace que envía el email legítimo, la cosa irá mucho mejor:
Este último punto, el ver la URL real del enlace, es la técnica más reveladora y si te acostumbras a revisarlo siempre que tengas dudas, es mucho más difícil que puedas caer en cualquier trampa phishing.