Phishing contra banco mexicano !!!

 

El día 10 de junio recibimos la notificación de un correo electrónico supuestamente de Bancomer en el cual se anunciaba una actualización de “los servidores de procesos bancarios”, para lo cual, se pedía al usuario una restauración de sus datos.

El link http://www.Bancomer.com y uno presente en la imagen del correo, apuntaban hacia el sitio http://salsasdelcasino.com/XXXX/100023.html y através de éste, se efectuaba una segunda redirección al sitio phishing del banco: http://depilhouse.server2.com.br/XXXx/DB/www.bancomer.com/

La forma más rápida de identificar el engaño, es a través de la URL, la cual hace referencia a un dominio en Brasil.

Decidimos investigar en este sitio hacia donde eran enviados los datos proporcionados por los usuarios al hacer uso del Acceso a la Banca en línea. En la imagen está encerrado en un recuadro rojo.

Ingresamos un número de tarjeta falso, presionamos el botón “entrar” y al capturar el tráfico, observamos que la información viaja en texto claro y pudimos recuperarla…

Posteriormente, el sitio nos pide ingresar un usuario y una contraseña para el número de tarjeta anterior. Esta información también la pudimos apreciar en el tráfico del sitio. 

El script que procesa la información es uno llamado proceso.php.

A continuación, el sitio pide al usuario que ingrese el código de su token de acceso y su clave de operaciones. Ingresamos números al azar y también los visualizamos en el tráfico.

En esta ocasión, fueron procesados por el script netkey3.php

Para hacer que el usuario confirme su información confidencial, el sitio pide que ingrese nuevamente los datos.

Además, solicita un número telefónico para que un supuesto ejecutivo se ponga en contacto para validar nuevamente su información.

Ingresamos un teléfono muy popular y también lo observamos en el tráfico.

El sitio muestra un mensaje final en que se indica que el usuario será contactado en los próximos 30 min por un “ejecutivo”.

En el verdadero sitio del banco, una vez que el usuario ha ingresado su número de tarjeta, solicita una confirmación del número.

Al presionar en “Sí”, se abre la ventana de la ayuda interactiva y debido a que en su sistema no se encuentra registrado el número de trajeta que proporcionamos (lo inventamos), nos hace una serie de preguntas y con base en las respuestas, nos arroja un diagnóstico.

Cuando se trata de realizar consultas en la Banca en línea de cualquier institución financiera es muy importante cerciorarse de que la URL no contenga algún elemento del cual pueda sospecharse, si es así, se deberá cerrar la página y notificar a las mismas instituciones para que actúen al respecto.

Otro aspecto fundamental, es verificar que esté habilitado el cifrado en el sitio (HTTPS) para evitar que la información confidencial pueda ser observada en el tráfico generado.

fuente : UNAM-CERT

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: