Robo de credenciales de Bancomer (México)
Nos acaban de reportar un caso de Phishing a Bancomer, el cual se encuentra alojado en un sitio previamennte vulnerado de España. El proceso de robo de credenciales es el siguiente:
Todo el sitio falso se aloja en una carpeta y cada sección del sitio es armada por distintos frames dentro de la página mencionada: http://www.[ELIMINADO].es/images/Bankmain/persona/Bancomer_archivos/perso_frame.php
Ese script es el encargado de generar la página falsa y seguramente es comercializado en foros y otros sitios de phishing a través de los populares kit de phishing.
A su vez, el script responsable de solicitar los datos de acceso (número de tarjeta y contraseña) es http://www.[ELIMINADO].es/images/Bankmain/persona/Bancomer_archivos/perso_frame_archivos/perso_acceso_subhome.php, que también se carga en otro frame de la página falsa.
Los datos son solicitados al por perso_acceso_main_subhome.php que también es ubicado a través de otro frame.
En este último PHP recién puede verse que los datos son robados por proceso.php
Pero, lejos de finalizar allí, los delincuentes también solicitan los datos de la tarjeta de coordenadas a través del script http://www.[ELIMINADO].es/images/Bankmain/persona/Bancomer_archivos/perso_frame_archivos/perso_acceso_subhome_archivos/TarjetaFull.html
Es decir que se solicitan los 110 campos de la tarjeta de coordenadas que el usuario posee en su poder.
Luego, antes de finalizar, se solicitan la contraseña de acceso y la clave de operaciones para realizar transferencias:
Finalmente, a través del script transacciones_verifica.php, se completa el engaño dando las gracias al usuario estafado:
Y con esto se finaliza el proceso de robo de credenciales ya que el ladrón ahora posee los datos de acceso a la cuenta de Bancomer y también de la información necesaria para realizar transferencias en nombre de estafado.
Luego de nuestra denuncia, nos informan desde CERT-INTECO que el caso ya ha sido solucionado.
Cristian de la Redacción de Segu-Info
Todo el sitio falso se aloja en una carpeta y cada sección del sitio es armada por distintos frames dentro de la página mencionada: http://www.[ELIMINADO].es/images/Bankmain/persona/Bancomer_archivos/perso_frame.php
Ese script es el encargado de generar la página falsa y seguramente es comercializado en foros y otros sitios de phishing a través de los populares kit de phishing.
A su vez, el script responsable de solicitar los datos de acceso (número de tarjeta y contraseña) es http://www.[ELIMINADO].es/images/Bankmain/persona/Bancomer_archivos/perso_frame_archivos/perso_acceso_subhome.php, que también se carga en otro frame de la página falsa.
Los datos son solicitados al por perso_acceso_main_subhome.php que también es ubicado a través de otro frame.
En este último PHP recién puede verse que los datos son robados por proceso.php
Pero, lejos de finalizar allí, los delincuentes también solicitan los datos de la tarjeta de coordenadas a través del script http://www.[ELIMINADO].es/images/Bankmain/persona/Bancomer_archivos/perso_frame_archivos/perso_acceso_subhome_archivos/TarjetaFull.html
Es decir que se solicitan los 110 campos de la tarjeta de coordenadas que el usuario posee en su poder.
Luego, antes de finalizar, se solicitan la contraseña de acceso y la clave de operaciones para realizar transferencias:
Finalmente, a través del script transacciones_verifica.php, se completa el engaño dando las gracias al usuario estafado:
Y con esto se finaliza el proceso de robo de credenciales ya que el ladrón ahora posee los datos de acceso a la cuenta de Bancomer y también de la información necesaria para realizar transferencias en nombre de estafado.
Luego de nuestra denuncia, nos informan desde CERT-INTECO que el caso ya ha sido solucionado.
Cristian de la Redacción de Segu-Info
Está bien utilizar "www.[ELIMINADO].es" para no dar información sobre el dominio intrusionado ... pero parece que se os ha escapado:
ResponderBorrar"http://www.joquenoche.es" en el POST ...
Ya lo hemos corregido.
ResponderBorrarCristian