Intento de robo de datos basado en el portal segundamano.es

Bancos, cajas de ahorro, sitios de subastas, de pago online, empresas de traspaso de dinero, páginas de comunidades, oficinas de correos, agencias tributarias, operadores telefónicos, páginas de búsqueda de empleo... todo este tipo de organizaciones (y más) han sido víctimas de ataques phishing. Ahora es el turno de los portales de segunda mano. Se ha detectado un caso de phishing destinado a potenciales usuarios de segundamano.es que lleva activo varias horas.

El ataque ha sido detectado desde al menos el martes día 15 de julio. Una URL que simula pertenecer al portal de anuncios clasificados (pero que en realidad estaba alojada en una página de hosting gratuito), pretendía ser la empresa de venta de segunda mano y robar los datos de la tarjeta de crédito de las potenciales víctimas. El phishing solo se aprovecha de la imagen de la compañía para intentar obtener los datos de la tarjeta de crédito de la víctima. Lógicamente, en ningún caso la empresa está relacionada con los atacantes.

El sitio, bastante poco conseguido, pretende simular una página en la que un anunciante debe confirmar un supuesto anuncio publicado en las últimas 24 horas en el famoso portal español. El usuario debe introducir el número de tarjeta de crédito, fecha de caducidad, código CVV, nombre y NIF. Estos datos viajan al correo electrónico: [email protected]

ADVERTENCIA: Aunque desde el laboratorio de Hispasec no hemos detectado que la página pueda intentar infectar al sistema de forma automática con algún tipo de malware, esta situación puede cambiar en cualquier momento. El autor del phishing puede incluir la inyección de código en la página e infectar el sistema a través de vulnerabilidades u otras técnicas. Por tanto, visite la página de phishing bajo su responsabilidad, pues no podemos garantizar que no pueda llegar a ser dañino para el sistema.

El phishing sigue un patrón típico de doble URL. Un dominio gratuito securidadsegundamano.es.tc muy parecido al original que sirve de punto de entrada y de redirección para otra URL que apunta a un hosting también gratuito y que es donde se aloja la página en sí.

Se trata de una campaña potenciada a través de un correo basura que anima a usuarios a confirmar su hipotético anuncio publicado en segundamano.es. El (insistente) texto del correo basura, (el original en HTLM), es:

*********************************
Confirma anuncio :
Tienes que confirmar en breve el anuncio de nuevo en 24 horas :
En 24 horas hay que confirmar el anuncio
El anuncio lo vamos a borrar en breve si no lo vas a confirmar en 24 horas.
El anuncio esta en nuestra base de datos solo tienes que confirmarlo .
Pulsa el enlace para confirmar el anuncio .
Pulsa aqui para confirmar sus datos :
*********************************

Hemos colgado un enlace con una imagen de la página fraudulenta aquí:
http://www.hispasec.com/images/unaaldia/segundamano.png

En realidad las probabilidades de que una potencial víctima que reciba el correo tenga relación con segundamano.es y caiga en la estafa son mínimas. Esto no desanima a los atacantes, que han encontrado en la suma de estafas a pequeña escala una fuente de ingresos potencialmente más lucrativa incluso que el ataque destinado a las grandes masas (usuarios de Hotmail, Paypal...). Ante la continua explotación de objetivos típicos donde el universo de usuarios es mayor, se decantan por páginas minoritarias que, aunque menos populares, presentan la ventaja para los atacantes de suponer un impacto específico para cierto tipo de usuarios e incluso más eficaz en conjunto.

Intentos como este merman la confianza de los usuarios en la compra online. Sabemos que desde hace tiempo cualquier organización, portal, empresa o compañía es susceptible de sufrir este tipo de ataques, incluso si el "target" comercial del ataque es muy reducido.

Fuente: http://www.hispasec.com/unaaldia/3553

Suscríbete a nuestro Boletín