Phishing a clientes de Claro

En estos momentos se encuentra activa una campaña de phishing a clientes de Claro y varios usuarios nos la han denunciado. El correo electrónico que se envía es el siguiente:

Como puede verse el botón lleva a un dominio que intenta simular que es de la entidad pero en realidad es un sitio falso.
A continuación se puede ver la diferente cantidad de servidores involucrados, en donde figura uno de una entidad gubernamental colombiana que la semana pasada mencionamos en el Premio Mastercard.

En el sitio falso se solicitan diferentes datos referidos al usuario, el número de teléfono y la tarjeta de crédito del mismo:

Una vez que los datos son enviados, el script pago_prepago_secureform_creditcard.php los almacena en la base de datos del delincuente y luego se informa al usuario que los datos no han podido ser procesados (a través del script declinado.php). En el servidor de Colombia vulnerado se pueden ver los archivos encargados de realizar el engaño:

Como siempre desde Segu-Info hemos realizado las denuncias pertinentes para que se proceda a la baja de esta estafa:

• MyWot: denuncia del sitio www.sitio.claro.com.ar.[ELLIMINADO].us
• FireFox: informado como sitio de suplantación de identidad del sitio de Claro
• Phishtank: se denuncio el sitio falso
• Correo a los responsables del sitio colombiano y a la delegación de delitos informáticos de Colombia, informando del abuso del sitio web.

Esperamos que a la brevedad el sitio sea dado de baja pero igualmente pedimos  extremar las precauciones.

Actualización 16hs: Acabamos de saber que esta campaña de correo phishing ha sido enviada anteriormente el 16/02/2010 y el 25/03/2010 y comprobamos que el sitio web utilizado fue el mismo que el reportado hoy.

Actualización 9/04: Recibimos reportes que ayer 8/04/2010 fue enviada una nueva oleada de estos mismos correos.

Redacción de Segu-Info