En las últimas horas en
Segu-Info hemos recibido varias
denuncias
de correos que dicen provenir del Banco de Tucumán pero en realidad
proviene desde un servidor de Colombia y posteriomente buscan engañar al
usuario para robar sus credenciales y tarjetas de
coordenadas.
El encabezado del correo falsificado es el siguiente:
To: xxx@gmail.com
Subject: Notificacion importante!
FROM: Banco Tucuman
Reply-To: icq_team@icq.com
Pero, en realidad si se analiza el encabezado en profundidad se puede
ver claramente que el correo proviene de un servidor ajeno a la entidad
mencionada:
www.colombia[ELIMINADO].com.co [XXX.98.36.27, XXX.162.212.144]:
El correo es enviado masivamente a miles de usuarios desde el siguiente
formulario PHP programado para enviar spam desde servidores vulnerados:
El contenido del correo falso con el engaño es el siguiente:
Como puede verse en enlace conduce a un sitio de terceros que nada tiene
que ver con el Banco. Luego, este enlace conduce a otro sitio a través
de una redirección que se ve a continuación:
Aquí, finalmente se accede al sitio falso
http://www.[ELIMINADO]thsandesh.com//news/.4/https/hbsrv.btonline.com.ar/Inicio.html y el usuario verá lo siguiente:
Por supuesto el sitio busca robar usuario y contraseñas pero además es capaz de robar la tarjeta de
coordenadas de la víctima:
Finalmente, el delincuente almacena los datos robados en dos archivos de texto llamados
"coordfrances.txt" y
"coordtucuman.txt":
Una vez más vemos lo sencillo que resulta engañar a un usuario a través
de simples formularios falsificados y alojados en sitios vulnerados por
los delincuentes.
