En las últimas horas hemos recibido al menos una decena de
denuncias relacionadas a correos falsos de Mercado Pago y Banco Francés alojados en un sitio argentino.
En el caso de Mercado Pago el asunto del correo falso es
"Cuenta Suspendida" y es el siguiente:
En el caso del Banco Francés el asunto del correo falso es
"Sistema de Seguridad" y es el siguiente:
Como es fácil apreciar, en ambos casos los enlaces hacen referencia a
http://www.banca[ELIMINADO].com.ar/fotos/MercadoPago/ y
http://www.banca[ELIMINADO].com.ar/fotos/Frances/,
lo que indica que el sitio ha sido vulnerado y se ha alojado varios
casos de sitios falsos financieros y bancarios en el mismo servidor.
Efectivamente al revisar el sitio pueden encontrarse los sitios falsos, como el siguiente de Mercado Pago:
Por resumir, no aburrir e ir a lo realmente importante, no coloco los demás sitios falsos. Solo basta
buscarlos en nuestro sitio, ya que es más de lo mismo.
Lo interesante es lo que encontramos en el servidor, el cual había sido
totalmente controlado no por un delincuente sino por varios.
Inicialmente se hizo una revisión del directorio "Fotos", donde se
habían alojado los sitios falsos:
Aquí
pueden verse los directorios donde se han alojado los sitios falsos,
los archivos ZIP/RAR con información que analizaremos enseguida y
archivos PHP y Python que son
Shells para controlar el servidor y que evidentemente han sido subidas por los delincuentes para hacer sus "tareas".
Al descargar el archivos
"MercadoPago.zip" se puede ver lo siguiente:
Este
archivo ha sido subido al servidor y posteriormente descomprimido dando
origen a la carpeta "MercadoPag" con todo el sitio homónimo ya visto.
En el archivo
"log.php" se puede encontrar los datos de correo del delincuente, donde se enviarán los datos robados a las víctimas.
En otro de los archivos se puede encontrar el caso de Banco Francés y, de igual manera el correo del delincuente:
Y,
en un tercer ZIP podemos encontrar algo aún más jugoso que son los
datos robados por los delincuentes, correspondientes al los datos de
acceso (usuario y contraseña) del Banco Francés:
Analizando el archivo
"chupala.txt"
(sic) se pueden encontrar datos falsos, que han sido ingresados por
personas que se han percatado del engaño, y datos reales (como los de la
imagen) que han sido ingresados por víctimas que nunca se han dado
cuenta que habían ingresado a un sitio falso del banco.
Eliminado los datos repetidos y los falsos,
se pueden encontrar 67 documentos distintos que han sido ingresados con sus respectivas contraseñas durante un día, lo cual brinda una idea aproximada del éxito de los delincuentes con estas estafas.
Lo mismo sucede con los datos robados de las cuentas y las tarjetas de débito:
En el próximo
post
seguiremos viendo otras "curiosidades" encontradas en el servidor
vulnerado, del cual ya se han eliminado los archivos y sitios falsos
mencionados.
