28 abr. 2014

Phishing a BBVA Frances [Argentina] roba tarjeta de coordenadas

Desde hace unas 3 semanas que recibimos denuncias de correos engañosos que tiene por objetivo el robo de credenciales bancarias. Un caso de phishing. Estos correos tienen en común el modelo del correo usado para phishing pues, está basado en un correo real que envía PagoMisCuentas (Banelco) cuando notifica servicios adheridos que estan por vencer:
Correo auténtico usado como modelo
El objetivo puede variar de institución (Visa, Banelco/PagoMisCuentas, BBVA Francés) o de pretexto, pero básicamente el correo siempre es del estilo siguiente:
Con haber leído alguno de estos análisis que publicamos hace años aquí en Segu-Info, el ojo informado de la posible víctima ya puede discernir los elementos dudosos y engañosos: remitente falsificado, pretexto del mensaje apelando a la urgencia de hacer lo que se pide, enlaces falsos a sitios que no son de la institución y solicitud de información que los bancos nunca piden.

En caso que la víctima acceda al falso enlace (http://[ELIMINADO]own.ca/wp-admin/macro.php/scam_[ELIMINADO].html ) alojado en un sitio web abusado, será redirigido a una página falsa alojada en un servicio de hosting como el del enlace: http://63.[XX].[YY].82/~bbvafran/seguridadbbva/scam_[ELIMINADO].html
Página web falsa, observe la dirección URL
Si se ingresa el número de DNI(1) se pasa a la siguiente pantalla:
Aquí se solicita usuario(2) y contraseña(3), luego de lo cual se pasa a otra pantalla:
Donde se pide una clave de transferencia bancaria(4), tras lo cual se pasa a la siguiente:
Y aquí se solicitan los 81 números de la Tarjeta de Coordenadas(5), tras lo cual se llega a la pantalla final:
Donde se advierte con un mensaje falso que la banca electrónica no esta activa y no se podrá usar por el término de 24hs. Probablemente con la intención que la víctima del engaño no ingrese para evitar advertir movimientos realizados por el delincuente con los datos obtenidos mediante este engaño.

Algunos detalles que se pueden observar a partir de los encabezados del correo phishing, es su origen, que no es el banco sino un servidor abusado por fallas de seguridad, donde el delincuente ha plantado un script para automatizar el envío masivo de estos correos phishing:
Encabezados del correo phishing, se puede ver el origen del envio masivo.
Se puede ver en la captura siguiente la consola del script de envio de spam masivo:

Adicionalmente, hemos revisado los datos almacenados en un archivo TXT de 65KB, pudiendo comprobar que muchos de los datos obtenidos por el delincuente son reales y efectivamente brindan acceso a cuentas del Banco BBVA Frances de Argentina.

Desde Segu-Info procedimos a realizar las denuncias respectivas, pero lamentablemente no todos los Webmaster, ISPs y servicios de hosting prestan atención a las denuncias, por lo cual casos como estos pueden quedar activos por días y semanas antes de ser desactivados.

Raúl de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!