19 feb. 2016

Estudio de un Phishing de Paypal alojado en GoDaddy

La semana pasada hemos recibido denuncias por correos engañosos provenientes de Paypal (sí, otra vez) que tienen por objetivo el robo de datos personales y credenciales bancarias.

Como viene sucediendo este último tiempo, la sofisticación del engaño aumenta y lo verán a continuación. En este caso particular, llega un correo que supuestamente proviene de Paypal donde se le informa sobre una transacción sospechosa con los detalles de la misma.

Al igual que un correo tradicional de Phishing, el atacante coloca un botón y utiliza ingeniería social para inducir a las víctimas a presionarlo para que ingresen a la siguiente URL acortada (para que no resulte sospechoso): http://bit[.]ly/1RUeIW3, tal como muestra la siguiente imagen:
Al acceder a la URL acortada, detectamos que antes de llegar al sitio falsificado, pasa por el siguiente dominio:
Como es de esperarse, el sitio falso tiene una apariencia bastante similar al sitio legítimo donde hay una mix de URLs legítimas y falsas:
Buscando la procedencia del sitio utilizado por los atacantes para cometer el fraude, hemos detectado que el mismo se aloja en GoDaddy (como sucede hace tiempo):
Emulando el proceso de inicio de sesión, ingresamos los datos una supuesta cuenta (las víctimas pondrán sus datos reales):
Aparentemente hay que completar el siguiente formulario con nuestros datos personales para que sean "validados" por PayPal:
Y luego lo peor...la solicitud de nuestros datos bancarios:
Una vez terminado el proceso, la pantalla final nos informa que "hemos actualizado correctamente nuestros datos y que nuestra cuenta ha sido restaurada". Acto seguido somos redirigidos al sitio original de Paypal ya que previamente nos dice que debemos iniciar sesión nuevamente para ver los "cambios" en la cuenta (aunque la mayoría seguramente no llegará a leerlo).

La cantidad personas que han ingresado al sitio falso hasta ahora es de 6.766.
Si bien no se puede saber la cantidad real de afectados, la cantidad de clics realmente es muy grande.

Desde Segu-Info procedimos a realizar las denuncias respectivas, pero lamentablemente no todos los Webmaster, ISPs y servicios de hosting prestan atención a las denuncias. Sin embargo los navegadores los califican como sitio sospechoso.

Finalmente, le recordamos desconfiar de este tipo de correos e ingresar al sitio legítimo previa búsqueda en su buscador (DuckDuckGo, Google, Bing), o mejor aún, si lo tenes entre sus favoritos.

El sitio ha sido dado de baja luego de 13 días en línea en los servidores de GoDaddy.

Información adicional del caso

URL acortada
  • http://bit[.]ly/1RUeIW3
LongURL
Redirección 1
  • http://memoriesforkeeps[.]sg/.settings/index.html (103.23.76.112)
Redirección 2
  • http://ww.paypal.com-webapps-mpp.security.help-web.cgi-bin-updateaccount-info-gen.ua-outside.suspicious-activity.c715d3dfa75c9bf0b5238d4fb41209efe9264a97[.]personalchocolate.com.au/ (192.185.30.131)
Proceso de Login
  • http://ww.paypal.com-webapps-mpp.security.help-web.cgi-bin-updateaccount-info-gen.ua-outside.suspicious-activity.c715d3dfa75c9bf0b5238d4fb41209efe9264a97[.]personalchocolate.com.au/myaccount/webscr?cmd=_restriction-details&popup=1&dispatch=f276649d732949d41cba8c3faa874425&session=cdef87a05ddb2dc175c48ec5b2564586
Whois
VirusTotal
URLQuery
Mauro Gioino de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!