17 feb. 2016

Phishing de VISA paso a paso, alojado en web abusada

Desde hace varios días retomaron la actividad los delincuentes locales con el envío de correos falsos imitando a Visa. Correos phishing.

El mecanismo es el usual, un mensaje falso para engañar a usuarios desprevenidos de la tarjeta y con el fin de robarle los datos personales y de tarjeta, con los que posteriormente se traficarán en el mercado negro y se utilizarán para compras fraudulentas a cargo de las víctimas engañadas.

Aquí podemos ver una captura del correo phishing.
Correo Falso - Enlace a página falsa
El usuario desprevenido al hacer clic en el enlace es dirigido a http://cqestudio.com/visa/homevisa/

Allí hay (había) una página plantada por los delincuentes en ese sitio web abusado gracias a alguna falla de seguridad. Se solicitan datos personales.
Página Falsa - imita original
En una segunda página se solicitan datos de la tarjeta de crédito de la víctima
Segunda página robo de datos de tarjeta
Se finaliza con un mensaje de operación exitosa.
Finalizando engaño con mensaje exitoso
Y para cerrar, se redirige a la página real de Visa, que como se ve fue copiada para el engaño.
Redirigido a la página real de la tarjeta
Examinando la URL del sitio abusado podemos ver el contenido. El delincuente dejó allí en  homevisa.zip todos los archivos plantados para establecer estas páginas falsas.
Directorio de web abusada ZIP contiene Kit de Phishing
En uno de los archivos del "kit" está el mecanismo mediante el cual se envía la información robada.
Módulo que envía al delincuente los datos robados
Como usuarios no está de más recordar que los bancos nunca solicitan información por correo ni avisan de bloqueos o fraudes por ese medio.

Es importante observar el enlace al que uno va a ingresar antes de proseguir con algo tan poco usual.

Los bancos y tarjetas tienen listas de consejos de seguridad que todos deberíamos conocer y entender.

Por parte de los que montan sitios web, deberían saber que por mejores programadores o diseñadores que sean, la buena funcionalidad de un sitios web nada tiene que ver con una buena seguridad. Se debería recurrir a profesionales experimentados o capacitarse para instalar y configurar de forma segura su sitio.

Desde Segu-Info informamos al propietario del sitio y los ISP involucrados. La página falsa ya no existe aunque demoró cerca de 20 horas es ser sacada fuera de linea. Tiempo más que suficiente para una campaña de phishing exitosa. Y gracias a Guillermo P. por la denuncia.

Raúl Batista de la redacción de Segu-Info

3 comentarios:

  1. Hola!!!... Si hago una operacion en la pagina real de Visa e ingreso datos falsos, esta me tiraria un error por lo que pregunto; no seria una buena medida ingresar datos falsos en una pagina de este tipo cuando no sabemos si es la real o una de phishing???... Si me dice que hay un error en los datos ingresados se trataria de la verdadera y si pasa con cualquier dato falso que ponga se trataria de una falsa o de phishing... O estoy equivocado???...

    ResponderEliminar
  2. Excelente trabajo gente!.
    Celebro que expongan a esta lacra y ojalá tengan su castigo.
    Saludos!.

    ResponderEliminar
  3. Hola,

    La medida apropiada es no hacer clic en el enlace del correo, punto.

    Los bancos y tarjetas JAMAS envian correos de este tipo y tampoco solicitan ingreso de información como la expuesta en este engaño, NUNCA lo hacen.

    El correo es fácilmente detectable como un engaño cuando uno ya sabe que bancos y tarjetas no envian estas solicitudes.

    El enlace no es del banco ni tarjeta, si uno observa y piensa antes de hacer clic, ya se da cuenta que es un engaño.

    Como si fuera poco, la página web está en otro dominio y no el real del banco, el usuario informado detecta de inmediato el engaño.

    Además si uno ingresa a su banco o tarjeta lo debe hacer sin usar enlaces de correos o mensajes, ingresa a la direccion que ya conoce (o guardó en sus favoritos).

    De tal modo que lo que propones es equivocado y arriesgado. El enlace podría desembocar en la pagina falsa o llevar a un ataque web para infectarte con, por ejemplo, una descarga silenciosa (drive by download) de malware.

    Saludos.
    Raúl

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!