Nada más ideal que tener un mail de Hotmail, que este en muchos leaks de sitios, como para recibir todo el Phishing de moda. En este caso tenemos un Phishing de un banco uruguayo, por lo que mi cuenta esta identificada en el mundo underground como uruguaya

En un principio vemos que el mail nos llegaría del banco en cuestión desde la casilla brou-atencionalcliente@brou.com

No es identificado como SPAM y es clasificado como prioritario. Al ingresar al mismo nos encontramos con la mala noticia de que nos congelaron la cuenta

Ahí si prestamos atención se empieza a caer el phishing, si observamos la zona superior izquierda de la imagen podemos ver que el mail proviene de cuny.01@hotmail.com y no de BROU. Pasemos al link que nos va a solucionar nuestros problemas con el banco, si nos posicionamos sobre el botón podemos visualizar que nos dirige a

https://express.adobe.com/page/9NDT75c30dtmK/

una dirección web claramente fuera del dominio de Brou, ingresando a la misma nos damos cuenta que llegamos tarde

Analizando los headers del correo electrónico no encontramos una dirección IP que no sea de Mircosoft por lo que no nos aporta a fin del análisis.

Podemos continuar investigando el correo utilizado probablemente una cuenta falsa o hurtada a una víctima incauta. Chequeamos la misma en HaveIBeenPwn con el fin de saber si la misma está comprometida.

Efectivamente la misma fue parte de Leaks, es decir que muchos de sus datos e inclusive claves de usuario fueron filtrados en bases de datos comprometidas. Continuaremos indagando tratando de no exponer datos personales sin autorización.

Encontramos que efectivamente el mail fue filtrado en el Leak de Taringa, asociado a un usuario y con clave de usuario hasheada en MD5

Buscamos el usuario en Taringa y podemos visualizar nombre y apellido del mismo, iniciales F. R. de Costa Rica según el código país.

También pudimos descifrar la clave de usuario con el hash MD5, el cual no vamos a hacer público.

No se encontró información en otros leaks del correo electrónico.

De este punto en adelante restaría reportar en las plataformas asociadas,por ejemplo Hotmail, Brou y Adobe Express la cual esta siendo muy utilizada para Phishing, por lo que debemos de extremar cuidados con enlaces de la misma.

Espero que les sea de utilidad a fin de realizar sus propias investigaciones de Osint.

Happy Hacking!!