Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
15 de Octubre, 2014    General

Phishing de Banco Galicia abusa de nombre de dominio con letras acentuadas (BancoGalicía)

No son frecuentes, en los casos de Phishing que solemos analizar a diario, la introducción de nuevas técnicas o metodologías. En un caso que reportaron hoy a Segu-Info vimos algo poco frecuente que compartimos a continuación.

El correo falso dice lo siguiente (errores incluidos):
Asunto: Alerta de Seguridad!!! - BANCO GALICIA
Estimado CLIENTE:

Banco E-Galicia le comunica que nuestros servidores de procesos bancarios
han sido actualizados y ya se encuentran en completo funcionamiento para ud.

Debido a la multitud de demandas Online de la banca electronica para transferencia
de transcendencias economicas y chequeo de cuentas nuestro nuevo y remodelado
sistema posee una gran cantidad de cuentas de clientes en las antiguas plataformas,
por lo que es necesario de su colaboracion para restaurar la nueva base de datos.
Si no ha entrado en su HOME BANKING en las ultimas 3 horas , obligatoriamente necesita acceder para evitar cualquier inconveniente procedente a su cuenta.

Puede entrar a su cuenta haciendo click en el acceso que le estaremos brindando lineas
abajo , con esta accion su cuenta quedara actualizada de forma permanente y ud podra
obtener los nuevos beneficios que le ofrece nuestra nueva y actualizada banca online

ACCEDER>> (aquí viene el enlace)
El motivo del correo, es totalmente falso y debiera hacer sospechar desde el asunto. También el engaño respecto que el banco necesita que uno reingrese datos y que si no se procede va a haber problemas. Todo falso. Cualquier persona minimamente informada en estos temas debería descartar este mensaje solo al leerlo.

Una captura de este correo phishing se ve así:
El enlace en el correo se revela sin mayor acción que pasar el puntero sobre el enlace Acceder y se observa la URL falsa que nada tiene que ver con el banco http://www.yudor.com.tw/mooflow/archivo/
Si uno no se tomó el trabajo de leer el correo, ya con esto sabe que es falso. Pero sigamos.

Por otra parte, al observar los encabezados del correo, vemos el servidor de donde proviene:
Allí observamos y verificamos el origen: mx1.andesonline.com. [190.210.30.145] en el cual comprobamos que se trata de un servidor o cuenta de correo abusada.

Retomando el análisis de la URL engañosa, vemos que la misma redirige a: http://wsec02.bancogalicía.com/.scripts/.s/homebanking/GalHBlogin.asp lo cual es una novedad.

Si se observa con antención, la URL es muy similar a la real del banco cuando uno ingresa: https://wsec01.bancogalicia.com.ar/scripts/homebanking/GalHBlogin.asp

Incluso la página a la que el incauto llega es una copia de la página original del banco, tal como se ve aqui:

Vamos a detenernos un poco aquí. Veamos las diferencias entre los dos enlaces.

Los dos enlaces, el falso y el real

Falso: http://wsec02.bancogalicía.com/.scripts/.s/homebanking/GalHBlogin.asp
Real:  https://wsec01.bancogalicia.com.ar/scripts/homebanking/GalHBlogin.asp

La primer diferencia: el enlace falso no tiene SSL, es solo http://
Mucha gente conoce esto, pero menos gente sabe que esto no es un obstáculo. El delincuente podría haber instalado un certificado válido con un poco de esfuerzo, pero no es imposible.

La segunda diferencia y la novedad: el dominio: bancogalicía.com con una letra acentuada. Este tipo de dominios se llaman nombre de dominio internacionalizado o IDN (Internationalized Domain Name).

El delincuente registró un dominio IDN para realizar este delito de phishing.
Como se observa el nombre del dominio registrado es: xn--bancogalica-xcb.com
Para convertir de ASCII estándar a ASCII punycode que se utiliza, existen muchos sitios para convertir hacia y desde esta normativa de codificación, por ejemplo este, este y este.

Los dominios internacionalizados son relativamente nuevos (2001), han sido implementados paulatinamente en distintos países y originalmente los DNS y otras herramientas no están preparados para manejarlos.

Volviendo al registro del dominio, vemos que se realizó en Godaddy.com, uno de tantos registros de dominios .COM disponibles y que se observa admite que se utilice información del registrante tan ridícula como la que se ve aquí abajo, con la sola condición que uno pague con una tarjéta válida (¿robada quizas?).

Adicionalmente el sitio fue alojado también en Godaddy,com y podemos ver como siguen las pantallas del sitio falso si el incauto usuario procede a registrar su información:
Aquí todos los datos para la registración positiva, que son datos que se solicitarán para ciertas operaciones sensibles en la banca electrónica.
Luego se solicitan los 81 números de la tarjeta de coordenass, que jamás debiera nadie ingresar. Y el banco nunca solicita.
Para finalizar una pantalla de simulación de la sincronización para luego terminar en la misma página de login.

Como si fueran pocos los abusos de este caso, el correo, como mencionamos arriba, proviene del servidor de correo que corresponde a una pequeña línea aérea. Visitando la página de esta aerolíneaobservamos que el sitio web, que está en la misma dirección IP, está mal terminado y mantenido, por lo que no extraña que hayan abusado para enviar el correo desde allí.

¡Muchas gracias a MC por reportar!

Raúl de la Redacción de Segu-Info
Palabras claves ,
publicado por alonsoclaudio a las 23:57 · 2 Comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (2) ·  Enviar comentario
A mira a mi me paso hace poco y casi caigo : El fin de semama esta web falsta aparecia primera en los resultados de bsuqyeda, En honor a estos hice un post explicandolo :) http://www.taringa.net/post/noticias/19448948/Como-estafar-al-banco-galicia-y-sus-usuarios.html
publicado por german, el 05.06.2016 19:52
A mira a mi me paso hace poco y casi caigo : El fin de semama esta web falsta aparecia primera en los resultados de bsuqyeda, En honor a estos hice un post explicandolo :) http://www.taringa.net/post/noticias/19448948/Como-estafar-al-banco-galicia-y-sus-usuarios.html
publicado por german, el 05.06.2016 19:52
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Febrero 2023 Ver mes siguiente
DOLUMAMIJUVISA
1234
567891011
12131415161718
19202122232425
262728
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad