Desde hace unas 3 semanas que recibimos
denuncias
de correos engañosos que tiene por objetivo el robo de credenciales
bancarias. Un caso de phishing. Estos correos tienen en común el modelo
del correo usado para
phishing pues, está basado en un correo real que
envía
PagoMisCuentas (Banelco) cuando notifica servicios adheridos que estan por vencer:
Correo auténtico usado como modelo
El objetivo puede variar de institución (Visa, Banelco/PagoMisCuentas,
BBVA Francés) o de pretexto, pero básicamente el correo siempre es del
estilo siguiente:
Con haber leído alguno de estos análisis que publicamos hace años aquí en
Segu-Info,
el ojo informado de la posible víctima ya puede discernir los elementos
dudosos y engañosos: remitente falsificado, pretexto del mensaje
apelando a la urgencia de hacer lo que se pide, enlaces falsos a sitios
que no son de la institución y solicitud de información que los bancos
nunca piden.
En caso que la víctima acceda al falso enlace (
http://[ELIMINADO]own.ca/wp-admin/macro.php/scam_[ELIMINADO].html ) alojado en un
sitio web abusado, será redirigido a una página falsa alojada en un
servicio de hosting como el del enlace:
http://63.[XX].[YY].82/~bbvafran/seguridadbbva/scam_[ELIMINADO].html
Página web falsa, observe la dirección URL
Si se ingresa el
número de DNI(1) se pasa a la siguiente pantalla:
Aquí se solicita
usuario(2) y
contraseña(3), luego de lo cual se pasa a otra pantalla:
Donde se pide una clave de
transferencia bancaria(4), tras lo cual se pasa a la siguiente:
Y aquí se solicitan los
81 números de la Tarjeta de Coordenadas(5), tras lo cual se llega a la pantalla final:
Donde se advierte con un mensaje falso que la banca electrónica no esta
activa y no se podrá usar por el término de 24hs. Probablemente con la
intención que la víctima del engaño no ingrese para evitar advertir
movimientos realizados por el delincuente con los datos obtenidos
mediante este engaño.
Algunos detalles que se pueden observar a partir de los encabezados del
correo
phishing, es su origen, que no es el banco sino un
servidor abusado por fallas de seguridad, donde el delincuente ha plantado un
script para automatizar el
envío masivo de estos correos
phishing:
Encabezados del correo phishing, se puede ver el origen del envio masivo.
Se puede ver en la captura siguiente la consola del
script de envio de spam masivo:
Adicionalmente, hemos revisado los
datos almacenados en un archivo TXT de 65KB, pudiendo comprobar que muchos de
los datos obtenidos por el delincuente son reales y efectivamente brindan acceso a cuentas del Banco BBVA Frances de Argentina.
Desde
Segu-Info
procedimos a realizar las denuncias respectivas, pero lamentablemente no
todos los Webmaster, ISPs y servicios de hosting prestan atención a las
denuncias, por lo cual casos como estos pueden quedar activos por días y
semanas antes de ser desactivados.
Raúl de la Redacción de Segu-Info
