Phishing a Visa, sitio de autor de libro vulnerado y XSS en empresa de emarketing (all in one!)
Varios lectores de Segu-Info nos han informado ayer y hoy sobre la recepción de correos de phishing a Visa Argentina. El engaño utilizado en el correo es sobre supuestas irregularidades en la cuenta como se puede leer en el mensaje:
El enlace en este correo redirige a un sitio abusado regex.info (error solucionado). Y como se puede ver utiliza una falla XSS de una empresa argentina de e-marketing que permite enviar la URL de destino a través de un parámetro (error solucionado):
http://ex[ELIMINADO]et.com/Mod_Campaigns/tracking.asp?idem=9601283&em=[ELIMINADO]@gmail.com&ca=19167&ci=0&me=16306&of=91434&adirecta=0&url=http%3A%2F%2F67%2E[ELIMINADO]%2F0f5db79e7fa800%2Findex%2Ephp
El sitio de phishing, que ya fue eliminado, lucía de esta forma:
Como se ve destacado en la imagen, el sitio falso solicita información que jamás se debería ingresar. Con esa información los delincuentes realizarán compras con la tarjeta del incauto usuario que caiga en este engaño.
Como realizamos siempre en estos casos en Segu-Info, procedimos a reportar el caso a los sitios habituales y pudimos contactar al dueño de ese sitio web abusado para informarle, quien rápidamente nos agradeció:
Por otra parte desde Segu-Info nos comunicamos con la empresa de marketing para informarle que su sitio estaba siendo utilizado por los delincuentes para ocultar un ataque de phishing.Esperamos que nos responda y más importante que eso que corrijan el problema de XSS que poseen y que facilita a los delincuentes esta operatoria delictiva (ya lo hicieron). Los delincuentes aprovechan estas vulnerabilidades para escapar a los filtros de correo que valoran la reputación de las direcciones que contienen. Y como se ve en este caso lo han logrado.
¡Gracias Marco, Martin, Belen y Julio por los respectivos reportes!
Actualización 16:00: Jeffrey, de reg.info ya corrigió el sitio de su libro, está en línea nuevamente, y sin phishing.
Actualización 17:00: En un tiempo record la empresa de marketing también solucionó el problema y así nos los hizo saber.
Tanto Jeffrey como emBlue son dos ejemplos de lo que se debe hacer y la forma en que se debe trabajar (incluso un fin de semana) cuando existen casos de delitos informáticos. Varias empresas locales deberían tomar el ejemplo y hacer lo mismo.
Raúl y Cristian de la redacción de Segu-Info
Estimado Cliente: Visa Home esta constantemente trabajando para su seguridad, hemos notado una serie de irregularidades en su cuenta en los ultimos días y tuvimos que suspender el acceso a su cuenta temporalmente, para reactivar su cuenta por favor dirijase a
https://inetserv.visa.com.ar/vhs/app/Login.po
Y llene los campos necesarios, esto hará que restablezcamos su cuenta lo antes posible.
Lamentamos las molestias.
Merlina Irigotia, Departamento Legales, Visa Argentina.
Correo falso con enlace abusando de XSS de empresa de marketing
El enlace en este correo redirige a un sitio abusado regex.info (error solucionado). Y como se puede ver utiliza una falla XSS de una empresa argentina de e-marketing que permite enviar la URL de destino a través de un parámetro (error solucionado):
http://ex[ELIMINADO]et.com/Mod_Campaigns/tracking.asp?idem=9601283&em=[ELIMINADO]@gmail.com&ca=19167&ci=0&me=16306&of=91434&adirecta=0&url=http%3A%2F%2F67%2E[ELIMINADO]%2F0f5db79e7fa800%2Findex%2Ephp
El sitio de phishing, que ya fue eliminado, lucía de esta forma:
Sitio Web Falso - Pide información para robar
Como se ve destacado en la imagen, el sitio falso solicita información que jamás se debería ingresar. Con esa información los delincuentes realizarán compras con la tarjeta del incauto usuario que caiga en este engaño.
Como realizamos siempre en estos casos en Segu-Info, procedimos a reportar el caso a los sitios habituales y pudimos contactar al dueño de ese sitio web abusado para informarle, quien rápidamente nos agradeció:
Thanks so much for the report... I've shut down my web server until I canNota: Jeffrey Friedl es autor de un libro sobre expresiones regulares y nos ha informado que suspendió el sitio hasta tanto lo revisa y descubre como ingresaron.
figure out how they got in. )-: - Jeffrey
Por otra parte desde Segu-Info nos comunicamos con la empresa de marketing para informarle que su sitio estaba siendo utilizado por los delincuentes para ocultar un ataque de phishing.
¡Gracias Marco, Martin, Belen y Julio por los respectivos reportes!
Actualización 16:00: Jeffrey, de reg.info ya corrigió el sitio de su libro, está en línea nuevamente, y sin phishing.
Actualización 17:00: En un tiempo record la empresa de marketing también solucionó el problema y así nos los hizo saber.
Tanto Jeffrey como emBlue son dos ejemplos de lo que se debe hacer y la forma en que se debe trabajar (incluso un fin de semana) cuando existen casos de delitos informáticos. Varias empresas locales deberían tomar el ejemplo y hacer lo mismo.
Raúl y Cristian de la redacción de Segu-Info
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5
-
Posts Relacionados:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!