12 sep. 2014

Phishing alojado en SourceForge (una desagradable novedad)

En el día de hoy en Segu-Info nos hemos encontrado con una desagradable novedad relacionada a un caso de Phishing de Paypal alojado SourceForge, el popular sitio para alojar código fuente y aplicaciones Open Source. El sitio falso está extremadamente elaborado e incluso sería posible engañar a usuarios avezados.
El correo electrónico recibido simula provenir de Paypal y solicita ingresar al sitio para actualizar la información financiera del usuario.

Si se presta atención, es obvio que el enlace no apunta al sitio original de Paypal sino a "http://k9[ELIMINADO].sourceforge.net/web/cache/login/", una página web alojada en sourceforge.net, aprovechando que el sitio permite subir proyectos y modificar la página web de inicio por defecto. Con la cabecera del correo se puede determinar de dónde proviene:
Aquí queda claro que el correo obviamente no proviene de Paypal sino de un servidor cuyo SMTP ha sido vulnerado y ha sido utilizado para enviar el correo falso.

Con respecto al subdominio "k9[ELIMINADO]", puede corresponder a un usuario que ha sido creado específicamente para este objetivo o bien puede pertenecer a un usuario legal al que se le ha robado el nombre de usuario y contraseña de SourceForge. Esta última opción parece ser la más viable debido a que el sitio raíz no guarda relación con nada delictivo (al parecer es el creador de un software de backup), aunque es posible que SourceForge decida bloquear o dar de baja la cuenta, una vez que se analice el caso.

Entonces, de esta forma es posible simular en SourceForge cualquier tipo de sitio, aprovechando el alojamiento gratuito que este brinda a sus usuarios. El sitio falso es el siguiente:
Una vez que el delincuente obtiene el usuario y contraseña de Paypal, es redirigido a una nueva página de "actualización de datos" donde se solicitan los siguientes datos personales y financieros:
En esta página, primero se simula (en la parte superior) que el usuario ya ingresó a su cuenta de Paypal y posteriormente se solicita toda la información necesaria para robar definitivamente al usuario.
Finalmente, si se analiza el código fuente de las páginas falsas, ee puede ver que el sitio está construído en PHP e incluso existen algunos errores:

¿Qué hace el delincuente con los datos robados?

Como ya hemos mencionado varias veces en Segu-Info, el delincuente vende la información robada en foros y sitios underground o en dominios ONION como el siguiente:
Como podemos ver, en el mercado negro se vende ID de Paypal con crédito a un 10% de su valor real.

Desde Segu-Info ya hemos denunciado la página falsa a SourceForge para que proceda al análisis de bloqueo del sitio falso y a la investigación sobre otros sitios similares. Además, recomendamos a todos los usuarios de SourceForge que protejan su usuario y contraseña de forma tal que no puedan ser utilizados por terceros para realizar este tipo de acciones delictivas.

Actualización: después de reportar el caso varias veces, SourceForce dió de baja la cuenta.

Cristian de la Redacción de Segu-Info

1 comentario:

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!