Userlinux » Desenmascarando intento de phishing

Desenmascarando intento de phishing

24.mar 2006 Envía un trackback

Hace unos días Jocker hablaba de phishing como una de las técnicas más usadas hoy en día para el robo de datos, ante esto exponía un supuesto de como Cristina era estafada con un correo electrónico falso.

Para los no iniciados, el phishing es una variante de ingeniería social por la cual se trata de engañar al estafado para hacerlo creer que somos quien realmente no somos y nos facilite información confidencial.

Si bien esta técnica quedaba absolutamente explicada en la entrada de Vila Pengüín, hoy me he acordado de nuevo por haber recibido un intento de phishing, con lo que podemos completar la información con un ejemplo basado en hechos reales.

El correo que llegaba al cliente de correo era algo así (no facilito datos del usuario final para mantener la intimidad de dicha persona):

De: seguridad@bancaja.es
Responder a: nirepuesta@bancaja.es
Para: usuario@dominio.com
Asunto: Aviso de seguridad

Normas de Seguridad (Aviso)

Estimado cliente,

Entramos en contacto con Ud.para informarle que en fecha 23/03/2006 nuestro equipo de revision de cuentas identifica una cierta actividad inusual en su cuenta, que ha sido verificada por nosotros, hallando todas las operaciones aceptables. Hemos realizado un escueto informe sobre todos los movimientos habidos en su cuenta en el mes pasado.

Compruebe, por favor, este informe pulsando en acoplamiento inferior:

http://www.bancaja.es.ControlParticulares

Servicio De Bancaja

Esta notificaciуn de Bancaja fue enviada a usuario@dominio.com . Por favor no responda a este correo electrуnico, esto es un correo automatizado solo para notificaciones. Љ Bancaja, 2006. Todos los derechos reservados

Si os fijais hasta la codificación de acentos es un tanto sospechosa. Repasando el correo electrónico sacamos varias conclusiones. La dirección desde donde se envía el correo seguridad@bancaja.es es presumiblemente buena, pero si tenemos un poco de idea sabremos que, con pocos conocimientos, cualquiera puede enviar correo ilegítimo desde un servidor de correo (MTA) mal configurado, lo que normalmente se llama Open Relay. ¿Hay forma de sabe si este correo es legítimo?. Nos podemos hacer una idea viendo las cabeceras del mismo (en cualquier cliente de correo existe la opción de ver cabeceras completas o ver código fuente del mensaje. Echemos un vistazo:

Received: from ns20745.ovh.net (ns20745.ovh.net [87.98.240.38]) by smtp.dominio.com (Postfix) with SMTP id BD8EDAC4E8 for (usuario@dominio.com); Fri, 24 Mar 2006 06:14:42 +0100 (CET)
Received: from fwmepw (98.227.173.179) by ns20745.ovh.net; Fri, 24 Mar 2006 06:16:35 +0100

Vemos que el servidor de nombres que resuelve no es el de Bancaja ni aparece su dominio por ningún sitio, sin embargo hay referencias a ovh.net en diversas lineas de la cabecera. Desconfiamos.

Seguimos repasando, el enlace que ofrecen a http://www.bancaja.es.ControlParticulares no es real puesto que si observamos la barra de estado cuando el cursor se posiciona encima del mismo, apunta a esta otra dirección: http://www.bancaja.es.control.particulares.proxima.safacemlibreza.com/espana/seguro. Si no nos fijamos en la URL parece que el enlace es correcto a bancaja.es, pero es que el subdominio sigue con particulares.proxima.safacemlibreza.com y un par de carpetas /espana/seguro. Quede claro que el dominio empleado es safacemlibreza.com, lo que hay hacia la izquierda son subdominios y hacia la derecha carpetas. Un par de pantallazos pueden aclararlo mejor. Tengo el navegador abierto con tres pestañas, la primera es la dirección del phishing, la segunda es la página web de Bancaja y la tercera es la que deja al descubierto la estafa:

Más que demostrado, pero si nos pica la curiosidad podemos ir un poco más allá. También os habreis preguntado, como yo, qué tendrá http://safacemlibreza.com, ¿no?. Fijaos:

Hmm, enlaces y referencias a OVH, ¿nos suena? (nota para despistados: las cabeceras del correo). Haciéndose pasar (bastante mal, todo sea dicho) por una página de soporte técnico y nuevos planes de OVH, una empresa francesa de soluciones de internet, registro de dominios, etc. Ahora, y con un whois al dominio para ver información del propietario, creo que ya es la prueba definitiva para incrédulos:

domain: SAFACEMLIBREZA.COM
owner: floo
person: Salami Florinel
address: sange nr 1
adresse: Beverly Hills, 0 90210
adresse: US
phone: 532-326-4122
fax:
email: alexstathis2000@yahoo.com

¿Salami Florinel?, ¿Beverly Hills 90210?... de coña ¿no?. Sabemos que el dominio ha sido registrado en OVH el día 20 de Marzo del 2006 (hace 4 días). No se lo ha currado demasiado IMHO. De todos modos y si alguien que trabaja en Bancaja lee esto ya sabe a donde dirigirse para obtener más información al respecto. Seguro que en OVH se alegran de saber el bocadillo que se ha montado este tal Salami.

Comentarios

THroLL@24.03.2006, 'Re: Desenmascarando intento de phishing'

Para mí el caso más conocido son los mails sobre problemas en la cuenta de PayPal, aunque estos se lo curran menos si cabe, ya que en vez de utilizar un dominio ponen una dirección IP a saco como destino de los enlaces.

El problema es que la gente que no tiene mucha idea del tema se lo cree y pasa lo que pasa.

De todos modos, por ejemplo Gmail te añade esos mails en el apartado de spam, o por lo menos la mayoría de ellos, lo que puede evitarle problemas a mucha gente.

flexo@24.03.2006, 'Re: Desenmascarando intento de phishing'

muy bueno detective internauta...genial desmonte, jajajaj, estos del phising joer no saben lo que es pescar una buena trucha
saludos
buenfindesemana

Rubén Vidal@11.04.2006, 'Re: Desenmascarando intento de phishing'

Un saludo desde OVH.

Gracias por tu colaboración. El susodicho alojamiento fue cerrado con fecha:

2006-03-24 10:31:54

seguramente a raíz de un aviso, bien tuyo o bien de otra persona como tú.

Es realmente impresionante lo que puede mover las técnicas de phishing hoy en día. Es de lo más miserable y ruín que se puede encontrar en la red y por supuesto, contáis con la colaboración de todas las empresas de alojamiento.

No dudéis en señalar cualquier sospecha - aunque sea mínima - a la empresa registradora, no nos molestará ni por lo más mínimo.

La dirección siempre será
abuse@dominio_de_la_empresa_de_alojamiento

como por ejemplo: abuse@ovh.net

Nosotros vigilamos por nuestra parte que este tipo de prácticas no se realicen usando nuestros servicios, pero siempre se nos escapa alguno que es más listo o se sabe los trucos para pasar nuestros filtros.

En fin, lo dicho, muchas gracias por todo y un saludo a todos.

despai@18.11.2007, 'Re: Desenmascarando intento de phishing'

Ya te digo...! Sin ir más allá, buscando en google lo siguiente:

allinurl: www.paypal.com

podemos encontrar copias idénticas del portal paypal, como por ejemplo:

http://219.131.197.197:8080/www.paypal.com/login.html

Es increíble!

Alvaro@15.05.2008, 'otro phishing mas'

Este intento es algo mas cutre, pero vaya seguro que alguien cae, os popngo el mail en cuestion que acabo de recibir:

Estimado cliente,

Servicio técnico del banco Bancaja renovó el software para mejorar el servicio de los clientes del banco.

Para asegurar la integridad de sus datos Usted tiene que rellenar el "Bancaja Próxima Empresas: Formulario del cliente".

Para empezar a rellenar el formulario pulse en el vínculo:

Bancaja Proxima Empresas: Formulario del cliente

Esto es un mensaje automático, no hace falta que respondas.

La url a la que te enlaza es esta : http://www.bancajaproximaempresas.com.techlt.co.uk/indexPortalEmpresas-c/formulario.aspx?ref=7057645015718366602974408969424872926392116737839179244&ses=69826308012

Ya no saben que hacer para ganar pasta sin trabajar, en fin esto esta a la orden del dia.

Un saludo.

Escribe tu comentario

Intenta que tu comentario sea interesante y con información relevante al tema de la entrada. BBCodes disponibles: [url=http://direccion]texto[/url], negrita: [b]texto[/b], itálica: [i]texto[/i], subrayada: [u]texto[/u]. Para mencionar o citar a alguien (quote): [cita]texto[/cita]

Volver arriba