18 jul. 2014

Phishing a Bancos CrediCoop, Galicia, Macro, Santander y Banco de Chile

En la noche de ayer, hemos detectado una gran cantidad de actividad delictiva relacionada con cuatro bancos argentinos y dos chilenos. Todos los bancos mencionados tienen en común el uso de la tarjeta de coordenadas como "segundo factor de autenticación", lo cual como ya hemos mencionados anteriormente en Segu-Info, es poco confiable y fácil de burlar ya que los usuarios no prestan atención a este tipo de medidas de seguridad.

Un delincuente ha estado trabajando activamente para crear los sitios falsos de los bancos mencionados en un servidor especialmente montado para tal fin y alojados en X10hosting LLC.

A continuación daremos un vistazo a cada uno de los sitios y la forma en que han sido desarrollados. Inicialmente, todos los sitios se encuentran alojados en el mismo servidor (IP 198.91.XXX.XXX) y en el mismo directorio "~galicia":

Para dificultar las tareas de rastreo de herramientas automatizadas, los directorios reciben nombres extraños y largos como "SANTANDERCLSDFHTYTGFDCFVGBHYUJIJKOJUHYGTF" o "CHILEHYGFWERTYUIKKKKKKKKKJHGFDSXC". Al comenzar a analizar cada caso se puede ver que los sitios han sido muy bien duplicados, con detalles que apuntan a engañar la mayor cantidad de usuarios posible (excepto la dirección IP que seguirá siendo visible en la barra de direcciones).

Banco Santander Río (Argentina y Chile)

Inicialmente el usuario ingresa a la página principal del banco (home-banking):

Cuando presiona "Ingresar", se le solicitan sus datos de acceso (RUT en el caso de Chile y DNI en el caso de Argentina):

Luego, se solicitan los datos de los 81 campos de la tarjeta de coordenadas de forma desordenada, para dar una mayor sensación de seguridad:

Banco Macro (Argentina)

En este caso se ingresa al sitio principal de homebanking y posteriormente se solicita el ingreso de los datos de acceso del usuario.

Una vez robados estos datos, se solicita la tarjeta de coordenadas del banco, también de manera desordenada:

Banco Galicia (Argentina)

En este caso se ingresa al sitio principal de homebanking:
Posteriormente se solicita el ingreso de los datos de acceso del usuario. En este caso se puede observar que el sitio real fue descargado el 05/07/2014 para luego comenzar a subirlo a distintos servidores fraudulentos:

Luego, como sucede en los casos anteriores, se solicita la tarjeta de coordenadas:

Banco Credicoop (Argentina)

Nuevamente, se ingresa al sitio principal de homebanking y se solicitan los datos del adherente:
En el caso del Banco de Chile, lo que sucede es exactamente lo mismo que lo analizado hasta ahora en las demás entidades.

Robo de datos

Con respecto a la forma en que se roban los datos, siempre se utiliza un archivo PHP al que se le envía un parámetro sobre el tipo de información a recolectar. Por ejemplo el parámetro "STP=sendcard" indica que se deben solicitar los datos de la tarjeta de coordenadas:
Como podemos ver, el delincuente ha puesto mucho énfasis en maximizar sus ingresos y para ello ha multiplicado la cantidad de bancos que ataca y todos ellos tienen en común que utilizan las tarjeta de coordenadas como "segundo factor de autenticación".

La facilidad con que los usuarios son engañados a través de esta metodología sólo indica que los bancos deben comenzar a migrar hacia metodologías más seguras de autenticación, como por ejemplo los tokens y tomar la responsabilidad de proteger a sus usuarios.

Nota: luego de la denuncia de Segu-Info, todos los sitios han sido eliminados.

Cristian de la Redacción de Segu-Info

3 comentarios:

  1. Me gustaría saber si antes de denunciarlo a isp le comunicaron el incidente a las entidades afectadas?

    ResponderEliminar
    Respuestas
    1. Anónimo, supongo que trabajas en una de estas entidades por lo que sabes que generalmente reportamos los casos pero las entidades practicamente (salvo excepciones) no responden y entonces no nos es posible conocer cuáles son las activiades que llevan a cabo para la baja.

      Por eso nosotros procedemos directamente dando de baja el sitio lo más rápido posible, porque nuestra prioridad es proteger a los usuarios.

      Cristian

      Eliminar
  2. Excelente respuesta, Cristian. Gracias.
    Horacio

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!