En el día de hoy en
Segu-Info nos hemos encontrado con una desagradable
novedad relacionada a un caso de
Phishing de Paypal alojado SourceForge,
el popular sitio para alojar código fuente y aplicaciones Open Source.
El sitio falso está extremadamente elaborado e incluso sería posible
engañar a usuarios avezados.
El correo electrónico recibido simula provenir de Paypal y solicita
ingresar al sitio para actualizar la información financiera del usuario.
Si se presta atención, es obvio que el enlace no apunta al sitio original de Paypal sino a
"http://k9[ELIMINADO].sourceforge.net/web/cache/login/", una página web alojada en
sourceforge.net,
aprovechando que el sitio permite subir proyectos y modificar la página
web de inicio por defecto. Con la cabecera del correo se puede
determinar de dónde proviene:
Aquí queda claro que el correo obviamente no proviene de Paypal sino de
un servidor cuyo SMTP ha sido vulnerado y ha sido utilizado para enviar
el correo falso.
Con respecto al subdominio
"k9[ELIMINADO]", puede corresponder a
un usuario que ha sido creado específicamente para este objetivo o
bien puede pertenecer a un usuario legal al que se le ha robado el
nombre de usuario y contraseña de SourceForge. Esta última opción
parece ser la más viable debido a que el sitio raíz no guarda relación
con nada delictivo (al parecer es el creador de un software de backup),
aunque es posible que
SourceForge decida bloquear o dar de baja la
cuenta, una vez que se analice el caso.
Entonces, de esta forma es posible simular en
SourceForge cualquier tipo
de sitio, aprovechando el alojamiento gratuito que este brinda a sus
usuarios. El sitio falso es el siguiente:
Una vez que el delincuente obtiene el usuario y contraseña de Paypal, es
redirigido a una nueva página de "actualización de datos" donde se
solicitan los siguientes datos personales y financieros:
En esta página, primero se simula (en la parte superior) que el usuario
ya ingresó a su cuenta de Paypal y posteriormente se solicita toda la
información necesaria para robar definitivamente al usuario.
Finalmente, si se analiza el código fuente de las páginas falsas, ee
puede ver que el sitio está construído en PHP e incluso existen algunos
errores:
¿Qué hace el delincuente con los datos robados?
Como ya hemos mencionado varias veces en
Segu-Info, el delincuente vende la información robada en foros y sitios
underground o en dominios ONION como el siguiente:
Como podemos ver, en el mercado negro se vende ID de Paypal con crédito a un 10% de su valor real.
Desde
Segu-Info
ya hemos denunciado la página falsa a SourceForge para que proceda al
análisis de bloqueo del sitio falso y a la investigación sobre otros
sitios similares. Además, recomendamos a todos los usuarios de
SourceForge que protejan su usuario y contraseña de forma tal que no
puedan ser utilizados por terceros para realizar este tipo de acciones
delictivas.
Actualización: después de reportar el caso varias veces,
SourceForce dió de baja la cuenta.
Cristian de la Redacción de Segu-Info
