27 mayo, 2013

Phishing Bancario Disclosure

El día de ayer mientras revisaba mi correo, encontré el pan de todos los días, esos email de phishing de diferentes tipos.

Esta ocasión era una suplantación de identidad del Banco Santander de México, el cual no tengo ninguna relación con el banco porque no soy cliente.

Al revisar el correo de este supuesto banco encontré esto.




El típico mensaje que tu servicio sera desactivado y tienes que realizar una confirmación para que no lo desactiven.

Al dar clic en el enlace te lleva a esta pagina.



Podernos darnos cuenta que la pagina es completamente idéntica a la del banco Santander, aquí todo es como un cualquier otro phishing, también se puede notar que el scam esta instalado sobre un wordpress.
Al ingresar tu usuario y nip nos muestra la siguiente pantalla (ingrese datos falsos)



Podemos ver que nos pide el horario en el cual ingresamos a la banca, nuestro celular, teléfono local y correo.

Esta pagina falsa, no solo roba información de usuario y nip, sino también tiene interacción telefónica, puedes ver otro caso similar a este en el blog de ESET 

Como todos sabemos ya casi todas las bancas en linea manejan una doble protección de acceso, donde no solo con el usuario y contraseña puedes ingresar, sino ahora te asignan un token, un dispositivo que genera un numero cada cierto tiempo o depende del token.

Al ingresar los datos nos muestra la siguiente pantalla.



Nos vuelve a pedir el teléfono y la compañía, y ahora también te pide el correo y tu contraseña.

Con toda esta información se puede crear un escenario donde sepan cuando te conectas a tu banca y utilizar esos espacios del tiempo cuando no lo haces para realizarte una llamada por algún servicio de Voip (Skype) y con ingeniería social se hagan pasar como ejecutivos del banco, el cual te pediran sincronizar tu token, tu les das el numero que tienes mientras ellos se logean a tu banca e ingresan el token que les acabas de dar.
Quiza tengas activado las notificaciones por correo y celular de tu banco, pero si el ciberdelincuente al momento que realiza la transferencia intercepta tu correo eliminando todo rastro, y en tu celular te realiza suplantaciones de sms con algún servicio de esos de Internet, te habrán robado dinero sin que te des cuenta.

Al ver todo esto y la manera en que operaba esta estafa, me puse a investigar un poco y hice un escaneo con Acunetix en la pagina y  un sniffeo de mi red para buscar rastros de información



Pude ver todos los directorios y mas a fondo de como estaba estructurada la pagina, encontre que el dominio donde se encontraba el scam era de una pagina de otra persona, ya que podias encontrar en facebook el negocio y comentarios de sus clientes de que si existia dicha pagina la cual era Anytimenirvanayoga.

Al checar sniffeo encontre una pagina que me parecio rara por el directorio en el cual estaba, al ingresar a ella me encontre con esto.



Con una shell, que si no me equivoco es la famosa C99, al ver esto me doy cuenta que el ciberdelincuente habia tomado el control del hosting donde estaba hospedada esta pagina. Lo mas seguro es que halla utilizado una vulnerabilidad de Remote File Inclusion para poder ingresar esa shell al hosting.



Me duro muy poco el gusto el estar husmeando en la shell, ya que el administrador del hosting o nuestro ciberdelincuente, desactivo el servicio y puso el mensaje que estaba en mantenimiento.
Despues de eso, me puse a checar el codigo del correo donde me enviaron este phishing.



Aqui encontre el mailer de donde me estaban enviando estos correos.



Tambien encontre donde estaban guardadas las imagenes del cuerpo del mensaje del phishing.



En este directorio que también era de otra pagina web que había sido vulnerada como las anteriores encontré las imágenes del cuerpo del mensaje y un archivo de texto el cual contenía esto.



Una lista de direcciones ips, todas eran de ISP de México, la verdad no encontré de donde provenía esto, ya que se me hizo muy sospechoso.

Después de alrededor de 2 horas pude volver a ingresar a la pagina la cual  estaba el Scam y la shell del ciberdelincuente. Pero mi sorpresa fue ver que ya la shell no se encontraba, y el scam tampoco solo redireccionaba a otra pagina de otro hosting donde estaba el mismo Scam. Entonces creo nuestro vándalo quizá se dio cuenta en el log mi ingreso y el fue el que detuvo el servicio para realizar estos cambios y no le husmeara en su estafa.

Este es el mismo Scam pero en otro hosting vulnerado también en diferente localización




Pero este scam era diferente ahora no solo te pedía los datos de correo, nombre y celular, sino también agrego ingresar los datos de la tarjeta



Y no solo pedía el numero de tarjeta sino validaba que los datos ingresados fueran correctos a los usados por una tarjeta de Santander, y también te pedía que ingresaras tu RFC.

Al ver todo esto creo que este tipo no se dio cuenta de que seguía su rastro, sino que actualizo su Scam por uno mejorado.

Bueno con esto vemos las nuevas formas de phishing, no me imagino cuanta gente sin mucho conocimiento en seguridad ha caído en las redes de este ciberdelincuente.

Realizo este post para que sean mas cuidadosos ya que aunque tengamos nuestro token de acceso y sentido común, con este escenario de Ingeniería Social que nos plantea este ciberdelincuente, muchos podemos ser victimas.

Saludos

0 comentarios:

Publicar un comentario