Phishing del Banco Credicoop que se anuncia como anti-phishing
Lo que encontré al investigar sobre esto, es que el mail que ofrecía un sistema anti-phishing, lo que realmente estaba haciendo era ofrecer un programa que permitiría hacer phishing a los clientes del banco.
El siguiente es el mail que llego donde lo primero extraño que se ve es que el gráfico del logo del banco realmente apunta a una dirección de Rusia. http://[eliminado].ru/backup/dire.php. domain: STOPCAR.RU
type: CORPORATE
nserver: ns2.paltus.ru.
nserver: ns1.paltus.ru.
state: REGISTERED, DELEGATED
person: EVGENI N SAMOILENKO
phone: +7 495 9985217
e-mail: [email protected]
registrar: RUCENTER-REG-RIPN
created: 2001.04.02
paid-till: 2008.04.02
source: TC-RIPN
Si se analizan los encabezados del mail se notara que el mismo viene desde un servidor denominado walker.nswebhost.com.
Si uno hace click en esa dirección, se bajara a la computadora un archivo llamado credicoop.exe el cual al ser ejecutado, modificara el archivo C:\WINDOWS\system32\drivers\etc\hosts para que www.bancocredicoop.coop y bancainternet.bancocredicoop.coop apunten a la ip 189.141.48.74 la que tiene un falso sitio del Credicoop en linea para que los incautos ingresen sus datos pensando que ingresarán al sitio verdadero.
Lo importante de este phishing es que modifica el archivo hosts, por lo que el usuario, por más que ponga la url a mano en el navegador, siempre será re dirigido a la ip de los delincuentes.
La misma tiene estos datos:
inetnum: 189.141.48/24
status: reallocated
owner: Gestión de direccionamiento UniNet
ownerid: MX-GDUN-LACNIC
responsible: Gestión de cambios y configuraciones
address: Periferico Sur, 3190,
address: 01900 - México DF - DF
country: MX
phone: +52 55 56244400 []
owner-c: DCA
tech-c: DCA
created: 20070917
changed: 20070917
inetnum-up: 189.128/11
inetnum-up: 189.128/10nic-hdl: DCA
person: GESTION DE CAMBIOS
e-mail: [email protected]
address: PERIFERICO SUR, 3190, ALVARO OBREG
address: 01900 - MEXICO DF - DF
country: MX
phone: +52 5 556244400 []
created: 20021210
changed: 20060704
El falso sitio es prácticamente idéntico al original del banco, por lo que no se notará diferencias al entrar. Al momento de poner datos en esa página, ya los mismos habrán sido tomados por los delincuentes.
Cuando pude analizar estos datos, me puse en contacto con el Banco Credicoop para advertirles que sos clientes posiblemente estaban siendo víctimas de un ataque de phishing. Les pedí hablar con algún representante de sistemas, pero en su lugar, me contesto alguien de la mesa de ayuda confirmándome lo que yo ya sabia.
Sr. Criado
Agradeciendo se haya contactado con nosotros, informamos a Ud. que Banco Credicoop NO envía correos electrónicos con enlaces a la Banca Internet, por tanto recomendamos no ingresar a ningun sitio que se menciona en dichos correos y a su vez solicitamos eliminen el mismo.
Cordialmente.
Mesa de ayuda BTA/BPI
011 43205343 8 a 20 hs.
[email protected]
Dpto. de Comercializacion
Gcia. de Banca Personal
Me ofrecí nuevamente para pasarles todos los datos recabados, pero no me llego respuesta alguna.
A aquellos clientes del banco les recomiendo que se comuniquen con su entidad y que, como dice en el mail de respuesta a mi aviso al banco, no ingresen a ningún sitio enviado por mail, ya que el banco no lo envía.
Actualización 12/03/2008: En el día de hoy se han comunicado conmigo desde el Banco Credicoop para informarme que se han tomado mediadas desde la página de la institución para informa a los asociados sobre el proceder del Banco a la hora informar a su clientes sobre temas referentes a la banca Internet.
Fuente:
Blog de Sebastián D. Criado
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!