miércoles, 17 de agosto de 2011

Phishing al Banco BISA

Entre ayer y esta mañana recibí varios correos indicando que debo actualizar mis datos para el Banco BISA, un claro intento de phishing que analizamos a continuación.

El correo llega con el siguiente mensaje:

Para empezar ya se puede ver que en las cabeceras del mensaje el mismo viene desde un servidor ajeno al banco:

ovh.co.uk

El link nos dirige a la pagina beverlyhillsfashion.co.uk

Ambos sitios del Reino Unido, ahora, dependiendo que navegador utilicemos, el mismo nos dirige a la pagina o nos muestra un anuncio parecido a este:

Ello nos da un respiro de alivio mostrandonos que algunos navegadores van un paso delante con sus filtros, sin embargo para el analisis continuemos con el cargado de la pagina, el sitio tiene una copia de la estructura de la pagina sin embargo no tiene las caraceteristicas de seguridad de la pagina como el certificado digital, con un tipico formulatio de tarjeta y pin, lo interesante es que en este caso luego de pedir dichos datos, solicita el ingreso de los datos de la tarjeta de coordenadas:

Un dato muy critico para el usuario si este cae en el engaño, puesto que con ello este grupo de delincuentes se podría hacer con la autenticación de doble factor -mejor me consigo un Token OTP ;), al finalizar tenemos este mensaje:

¿Que les parece si hacemos un analisis de la página?, para comenzar se trata de un servidor con direccionamiento a www.photo-trafic.com/janvier..., esta ultima pagina sirve para reenviar el enlace hacia distinatas paginas según la disponibilidad de estas, por ejemplo al principio apuntaba al dominio ovh.co.uk, luego a svvenlo.nl/home/help/css/bisa, y el día de hoy a chin-chin.nl/stats/bisa/bisa.htm.

Si nos vamos a la carpeta superior podemos hacer un listado de los archivos de directorio (hasta un hacker debe asegurar sus aplicaciones, jejeje), y tenemos el listado de archivos, suponiendo que los datos que almacena el phishing son guardados en algun lugar es interesante el archivo dxtr.txt:

Como apreciamos en la siguiente imagen el publico ya se las conoce:

Cualquiera puede ingresar a dichas contraseñas y seguro que si indagamos un poco más podriamos identificar la vulnerabilidad plantada y el webshell cargado, como suelesiceder en estos casos, y de esta manera plantarle un shell inverso al atacante y rastrear su identidad >:) , pero simplemente subiendo algunos niveles podemos ver otros datos de interes, por ejemplo, tambien subieron un phishing para el banco de Pichincha, o al Banco Internacional:

Algunos clientes lastimosamente cayeron:

Ademas este sitio tambien sirve para almacenas phishing de hotmail:

Ahora recordemos como recibimos el correo??, alguien subio un script para envio masivo de correos:

Como ven un servicio muy completo. Algunas conclusiones:

- Vimos en este articulo como funcionan las redes de criminales digitales, esta el grupo de hackers black hat, que encuentran y logran vulnerar los servidores que alojan el ataque, los cuales luego venden el acceso a criminales para que ellos hagan el phishing, el servicio incluye el alojamiento, direccionamiento y envio de spam.

- Los phishers son atacantes mediocres, puesto que sus técnicas son muy pobres, empezando por el URL muy obvio, las fallas de ortografía y la trazabilidad de sus acciones.

- La seguridad al usuario se vuelve un pretexto para el cambio de datos para los atacantes por lo que no esta nada mal, difundir este tipo de articulos para que los usuarios estén alertas.

Esperamos sus comentarios, desde Yanapti estaremos brindando información acerca de estos tipos de ataques comunmente utilizados.

Grax

No hay comentarios:

Publicar un comentario