Phishing a Bancos CrediCoop, Galicia, Macro, Santander y Banco de Chile
En la noche de ayer, hemos detectado una gran cantidad de actividad delictiva relacionada con cuatro bancos argentinos y dos chilenos. Todos los bancos mencionados tienen en común el uso de la tarjeta de coordenadas como "segundo factor de autenticación", lo cual como ya hemos mencionados anteriormente en Segu-Info, es poco confiable y fácil de burlar ya que los usuarios no prestan atención a este tipo de medidas de seguridad.
Un delincuente ha estado trabajando activamente para crear los sitios falsos de los bancos mencionados en un servidor especialmente montado para tal fin y alojados en X10hosting LLC.
A continuación daremos un vistazo a cada uno de los sitios y la forma en que han sido desarrollados. Inicialmente, todos los sitios se encuentran alojados en el mismo servidor (IP 198.91.XXX.XXX) y en el mismo directorio "~galicia":
Para dificultar las tareas de rastreo de herramientas automatizadas, los directorios reciben nombres extraños y largos como "SANTANDERCLSDFHTYTGFDCFVGBHYUJIJKOJUHYGTF" o "CHILEHYGFWERTYUIKKKKKKKKKJHGFDSXC". Al comenzar a analizar cada caso se puede ver que los sitios han sido muy bien duplicados, con detalles que apuntan a engañar la mayor cantidad de usuarios posible (excepto la dirección IP que seguirá siendo visible en la barra de direcciones).
Cuando presiona "Ingresar", se le solicitan sus datos de acceso (RUT en el caso de Chile y DNI en el caso de Argentina):
Luego, se solicitan los datos de los 81 campos de la tarjeta de coordenadas de forma desordenada, para dar una mayor sensación de seguridad:
Una vez robados estos datos, se solicita la tarjeta de coordenadas del banco, también de manera desordenada:
Posteriormente se solicita el ingreso de los datos de acceso del usuario. En este caso se puede observar que el sitio real fue descargado el 05/07/2014 para luego comenzar a subirlo a distintos servidores fraudulentos:
Luego, como sucede en los casos anteriores, se solicita la tarjeta de coordenadas:
En el caso del Banco de Chile, lo que sucede es exactamente lo mismo que lo analizado hasta ahora en las demás entidades.
Como podemos ver, el delincuente ha puesto mucho énfasis en maximizar sus ingresos y para ello ha multiplicado la cantidad de bancos que ataca y todos ellos tienen en común que utilizan las tarjeta de coordenadas como "segundo factor de autenticación".
La facilidad con que los usuarios son engañados a través de esta metodología sólo indica que los bancos deben comenzar a migrar hacia metodologías más seguras de autenticación, como por ejemplo los tokens y tomar la responsabilidad de proteger a sus usuarios.
Nota: luego de la denuncia de Segu-Info, todos los sitios han sido eliminados.
Cristian de la Redacción de Segu-Info
Un delincuente ha estado trabajando activamente para crear los sitios falsos de los bancos mencionados en un servidor especialmente montado para tal fin y alojados en X10hosting LLC.
A continuación daremos un vistazo a cada uno de los sitios y la forma en que han sido desarrollados. Inicialmente, todos los sitios se encuentran alojados en el mismo servidor (IP 198.91.XXX.XXX) y en el mismo directorio "~galicia":
Para dificultar las tareas de rastreo de herramientas automatizadas, los directorios reciben nombres extraños y largos como "SANTANDERCLSDFHTYTGFDCFVGBHYUJIJKOJUHYGTF" o "CHILEHYGFWERTYUIKKKKKKKKKJHGFDSXC". Al comenzar a analizar cada caso se puede ver que los sitios han sido muy bien duplicados, con detalles que apuntan a engañar la mayor cantidad de usuarios posible (excepto la dirección IP que seguirá siendo visible en la barra de direcciones).
Banco Santander Río (Argentina y Chile)
Inicialmente el usuario ingresa a la página principal del banco (home-banking):Cuando presiona "Ingresar", se le solicitan sus datos de acceso (RUT en el caso de Chile y DNI en el caso de Argentina):
Luego, se solicitan los datos de los 81 campos de la tarjeta de coordenadas de forma desordenada, para dar una mayor sensación de seguridad:
Banco Macro (Argentina)
En este caso se ingresa al sitio principal de homebanking y posteriormente se solicita el ingreso de los datos de acceso del usuario.Una vez robados estos datos, se solicita la tarjeta de coordenadas del banco, también de manera desordenada:
Banco Galicia (Argentina)
En este caso se ingresa al sitio principal de homebanking:Luego, como sucede en los casos anteriores, se solicita la tarjeta de coordenadas:
Banco Credicoop (Argentina)
Nuevamente, se ingresa al sitio principal de homebanking y se solicitan los datos del adherente:Robo de datos
Con respecto a la forma en que se roban los datos, siempre se utiliza un archivo PHP al que se le envía un parámetro sobre el tipo de información a recolectar. Por ejemplo el parámetro "STP=sendcard" indica que se deben solicitar los datos de la tarjeta de coordenadas:La facilidad con que los usuarios son engañados a través de esta metodología sólo indica que los bancos deben comenzar a migrar hacia metodologías más seguras de autenticación, como por ejemplo los tokens y tomar la responsabilidad de proteger a sus usuarios.
Nota: luego de la denuncia de Segu-Info, todos los sitios han sido eliminados.
Cristian de la Redacción de Segu-Info
Me gustaría saber si antes de denunciarlo a isp le comunicaron el incidente a las entidades afectadas?
ResponderBorrarAnónimo, supongo que trabajas en una de estas entidades por lo que sabes que generalmente reportamos los casos pero las entidades practicamente (salvo excepciones) no responden y entonces no nos es posible conocer cuáles son las activiades que llevan a cabo para la baja.
BorrarPor eso nosotros procedemos directamente dando de baja el sitio lo más rápido posible, porque nuestra prioridad es proteger a los usuarios.
Cristian
Excelente respuesta, Cristian. Gracias.
ResponderBorrarHoracio
La baja por lo visto no la hacen ni los isp ni los bancos. Sino ellos mismos. Cuando cae la víctima parece que su ip es identificada por el sistema y despues de ingresado los datos, comienza a redirigir a Bing para simular que la página no existe. Pero si se ingresa "banco macro online" desde Google y con otra Pc, sale un anuncio de Google con una dirección falsa, pero con un título idéntico al del Home Banking que te redirige a la siguiente página:
ResponderBorrarhttp://macroonline-com-ar.elimentsescre.com/.cuenta/a/?cm_mc_uid=22005672843014657163130&cm_mc_sid_51630000=1466012180#
Se muestra en Google ADSENSE como:
Macro online - Macro online
www.esenciasycolorantes.com.ar/
Macro online
Phishing puro. Después pide ingresar la tarjeta de coordenadas, indispensable para poder realizar transferencias. Cuando la obtienen, listo. Ya estás en el horno.