Phishing a Mastercard SecureCode (Argentina)
En el día de hoy nos han reportado algunas variantes del Premio Mastercard (falso) en donde se ha modificado el asunto por Mastercard SecureCode, la interfaz del sitio ha sido modificada y por supuesto se sigue utilizando un dominio vulnerado para alojar e sitio falso.
El correo que se recibe es el siguiente, en donde se hace referencia a un dominio gratuito http://master[ELIMINADO].ar.gd:
Estos dominios son registrados en www.dominiosfre.com y evidentemente no son controlados, motivo por el cual desde Segu-Info ya lo hemos denunciado para que se proceda a su baja.
Si se ingresa al sitio, los datos que los delincuentes solicitan son los siguientes:
Es evidente que se solicitan todos los datos del usuario para robar todo lo necesario y referido a la tarjeta de crédito, lo cual luego permitirá duplicar la tarjeta (carding), realizar compras con la misma o nuevo ataques de phishing.
Si se observa el código fuente del dominio falso mencionado se ve que en realidad sólo contiene un iframe que hace referencia al sitio vulnerado que realmente contiene las páginas falsas:
Si se ingresa al sitio mostrado (.AU de Australia) se pueden ver los archivos y carpetas que contienen los archivos PHP que se encargan de obtener los datos.
Actualización 23:00: el sitio ha sido dado de bloqueado.
Cristian de la Redacción de Segu-Info
El correo que se recibe es el siguiente, en donde se hace referencia a un dominio gratuito http://master[ELIMINADO].ar.gd:
Si se ingresa al sitio, los datos que los delincuentes solicitan son los siguientes:
Es evidente que se solicitan todos los datos del usuario para robar todo lo necesario y referido a la tarjeta de crédito, lo cual luego permitirá duplicar la tarjeta (carding), realizar compras con la misma o nuevo ataques de phishing.
Si se observa el código fuente del dominio falso mencionado se ve que en realidad sólo contiene un iframe que hace referencia al sitio vulnerado que realmente contiene las páginas falsas:
Actualización 23:00: el sitio ha sido dado de bloqueado.
Cristian de la Redacción de Segu-Info
Cristián:Se te chispoteó la url en una de las capturas.
ResponderBorrarSaludos.
Solucionado, gracias.
ResponderBorrarCristian