Phishing a Visa, sitio de autor de libro vulnerado y XSS en empresa de emarketing (all in one!)
Varios lectores de Segu-Info nos han informado ayer y hoy sobre la recepción de correos de phishing a Visa Argentina. El engaño utilizado en el correo es sobre supuestas irregularidades en la cuenta como se puede leer en el mensaje:
El enlace en este correo redirige a un sitio abusado regex.info (error solucionado). Y como se puede ver utiliza una falla XSS de una empresa argentina de e-marketing que permite enviar la URL de destino a través de un parámetro (error solucionado):
http://ex[ELIMINADO]et.com/Mod_Campaigns/tracking.asp?idem=9601283&em=[ELIMINADO]@gmail.com&ca=19167&ci=0&me=16306&of=91434&adirecta=0&url=http%3A%2F%2F67%2E[ELIMINADO]%2F0f5db79e7fa800%2Findex%2Ephp
El sitio de phishing, que ya fue eliminado, lucía de esta forma:
Como se ve destacado en la imagen, el sitio falso solicita información que jamás se debería ingresar. Con esa información los delincuentes realizarán compras con la tarjeta del incauto usuario que caiga en este engaño.
Como realizamos siempre en estos casos en Segu-Info, procedimos a reportar el caso a los sitios habituales y pudimos contactar al dueño de ese sitio web abusado para informarle, quien rápidamente nos agradeció:
Por otra parte desde Segu-Info nos comunicamos con la empresa de marketing para informarle que su sitio estaba siendo utilizado por los delincuentes para ocultar un ataque de phishing.Esperamos que nos responda y más importante que eso que corrijan el problema de XSS que poseen y que facilita a los delincuentes esta operatoria delictiva (ya lo hicieron). Los delincuentes aprovechan estas vulnerabilidades para escapar a los filtros de correo que valoran la reputación de las direcciones que contienen. Y como se ve en este caso lo han logrado.
¡Gracias Marco, Martin, Belen y Julio por los respectivos reportes!
Actualización 16:00: Jeffrey, de reg.info ya corrigió el sitio de su libro, está en línea nuevamente, y sin phishing.
Actualización 17:00: En un tiempo record la empresa de marketing también solucionó el problema y así nos los hizo saber.
Tanto Jeffrey como emBlue son dos ejemplos de lo que se debe hacer y la forma en que se debe trabajar (incluso un fin de semana) cuando existen casos de delitos informáticos. Varias empresas locales deberían tomar el ejemplo y hacer lo mismo.
Raúl y Cristian de la redacción de Segu-Info
Estimado Cliente: Visa Home esta constantemente trabajando para su seguridad, hemos notado una serie de irregularidades en su cuenta en los ultimos días y tuvimos que suspender el acceso a su cuenta temporalmente, para reactivar su cuenta por favor dirijase a
https://inetserv.visa.com.ar/vhs/app/Login.po
Y llene los campos necesarios, esto hará que restablezcamos su cuenta lo antes posible.
Lamentamos las molestias.
Merlina Irigotia, Departamento Legales, Visa Argentina.
Correo falso con enlace abusando de XSS de empresa de marketing
El enlace en este correo redirige a un sitio abusado regex.info (error solucionado). Y como se puede ver utiliza una falla XSS de una empresa argentina de e-marketing que permite enviar la URL de destino a través de un parámetro (error solucionado):
http://ex[ELIMINADO]et.com/Mod_Campaigns/tracking.asp?idem=9601283&em=[ELIMINADO]@gmail.com&ca=19167&ci=0&me=16306&of=91434&adirecta=0&url=http%3A%2F%2F67%2E[ELIMINADO]%2F0f5db79e7fa800%2Findex%2Ephp
El sitio de phishing, que ya fue eliminado, lucía de esta forma:
Sitio Web Falso - Pide información para robar
Como se ve destacado en la imagen, el sitio falso solicita información que jamás se debería ingresar. Con esa información los delincuentes realizarán compras con la tarjeta del incauto usuario que caiga en este engaño.
Como realizamos siempre en estos casos en Segu-Info, procedimos a reportar el caso a los sitios habituales y pudimos contactar al dueño de ese sitio web abusado para informarle, quien rápidamente nos agradeció:
Thanks so much for the report... I've shut down my web server until I canNota: Jeffrey Friedl es autor de un libro sobre expresiones regulares y nos ha informado que suspendió el sitio hasta tanto lo revisa y descubre como ingresaron.
figure out how they got in. )-: - Jeffrey
Por otra parte desde Segu-Info nos comunicamos con la empresa de marketing para informarle que su sitio estaba siendo utilizado por los delincuentes para ocultar un ataque de phishing.
¡Gracias Marco, Martin, Belen y Julio por los respectivos reportes!
Actualización 16:00: Jeffrey, de reg.info ya corrigió el sitio de su libro, está en línea nuevamente, y sin phishing.
Actualización 17:00: En un tiempo record la empresa de marketing también solucionó el problema y así nos los hizo saber.
Tanto Jeffrey como emBlue son dos ejemplos de lo que se debe hacer y la forma en que se debe trabajar (incluso un fin de semana) cuando existen casos de delitos informáticos. Varias empresas locales deberían tomar el ejemplo y hacer lo mismo.
Raúl y Cristian de la redacción de Segu-Info
Hola!!!
ResponderBorrarGracias por el alerta!!! Recibi el siguiente mensaje relacionado a mastercard y cuando quise clikear para ir a la pagina que me sugerian el servido me indicaba que iba a entrar en un sitio poco seguro, razon por la cual me puse averiguar y el mensaje es muy similar al que muestran ustedes!!!
Llame al centro de atencion al cliente pero como es sabado no atienden.Lo enviaron un viernes a la tarde, dicen que si en 24 horas no doy los datos tendre que ir personalmente a la tarjeta.
No suelo escribir comentarios pero realmente fueron de mucha ayuda y si puedo ayudar a otros con mi relato estaria buenisimo
Gracias por todo y les adjunto el texto que ellos enviaron
Nota: Email redactado exclusivamente para la direccion email ... (ponen mi direceccion)
Buen dia:
Estamos trabajando para mejorar su seguridad, en las ultimas horas notamos una serie de irregularidades aleatorias en su cuenta y decidimos suspender temporalmente el acceso de la misma para operar.
Por tal motivo necesitamos verificar sus datos para brindarle un mejor servicio y sin interrupciones. Desde la recepcion de este correo tiene un plazo de 24hrs para concluir dicha accion, de lo contrario su cuenta sera congelada permanentemente. Hasta que usted se acerque a nuestra entidad para realizar los tramites pertinentes.
Para reactivar su cuenta via internet por favor presione sobre el boton "Ingresar al sistema" y complete los campos del formulario.
A continuacion de esta accion restableceremos su cuenta y no sera necesario que se acerque en persona a nuestra entidad.
Ingresar al sistema
Departamento de seguridad y sistemas.
Codigo interno: caso (ponen un numero)
Nota: Email redactado exclusivamente para la direccion email (ponen mi direccion)