Phishing a TAM Lineas Aéreas en el propio sitio de TAM (robo de tarjeta de crédito - solucionado)
Recibimos denuncias sobre un nuevo engaño por correo del tipo phishing que tienen como objetivo robar datos personales de tarjeta de crédito. Todos los datos necesarios para poder realizar transacciones. Esos datos que los delincuentes luego venden en el mercado negro.
Como se verá, en esta ocasión una falla de seguridad del blog oficial de la empresa TAM, facilita y da gran credibilidad al engaño, haciéndolo mucho más difícil de detectar. Suponemos que aquí si la empresa carga con parte de la responsabilidad de los daños a las posibles víctimas estafadas.
El correo en este caso utiliza la imagen de la empresa brasilera de lineas aéreas TAM con el pretexto de un programa de fidelidad, sorteos de dinero, viajes, etc. según se puede leer en el mensaje (errores incluidos):
Pero la propia redacción del correo sigue siendo sospechosa. Y aumentan las sospechas al verificar el encabezado del mensaje:
El enlace del correo lleva a una página donde vemos que hay dos enlaces para registrarse en el programa de fidelidad.
En este caso el phishing ha sido facilitado por la falta de seguridad en el sitio oficial del blog de la empresa aérea TAM.
Como se observa en la captura, un usuario no vería nada extraño. En la barra de dirección, el dominio es auténtico, aunque la página exhibida es falsa y nada lo ayuda a saber que es un engaño. Al menos hasta ahora.
Ambos recuadros destacados en la imagen tienen enlaces que llevan a las siguientes dos páginas, también falsas, pero alojadas en el propio servidor de TAM.
El primer enlace http://blog.tam.com.br/p[ELIMINADO]/clientetam.htm lleva a esta página, donde se pretende concretar la estafa, robar datos personales y de tarjeta de fidelidad.
Como se observa en la parte inferior, el formulario envía los datos al sitio web, tambien abusado por los atacantes, de una universidad en Turquía. http://www.sbe.metu.edu.tr/i[eliminado]/tam/form.php?old
El segundo enlace mencionado antes lleva a http://blog.tam.com.br/p[ELIMINADO]/novocliente.htm donde se concreta también la estafa robando datos de tarjeta de crédito:
Y en este caso el formulario envía los datos al mismo sitio web la universidad turca http://www.sbe.metu.edu.tr/i[eliminado]/tam/form.php?new
En este punto, a pesar de estar en el sitio web legítimo, el navegante entrenado debería dudar, pero debido a estar en el sitio web legítimo es muy probable que caiga en el engaño y entregue su información.
Luego de investigar los pormenores de este caso, y como es costumbre de Segu-Info, se reportó el caso a CERT de Brasil, además de los habituales sitios re reputación. Una cuatro horas más tarde se constata que la página de phishing plantada en el blog de TAM ya no estaba en linea.
Este caso demuestra que se debe estar atento y no confiar sólo en un signo de que el sitio o correo parecen genuinos. El correo con la redacción defectuosa, el pedido de datos sensibles de la tarjeta en una página sin SSL (sin httpS://) son datos al alcance de cualquiera para reconocer al sitio como sospechosos y así evitar divulgar cualquier tipo de información sensible.
Raúl de la Redacción de Segu-Info
Como se verá, en esta ocasión una falla de seguridad del blog oficial de la empresa TAM, facilita y da gran credibilidad al engaño, haciéndolo mucho más difícil de detectar. Suponemos que aquí si la empresa carga con parte de la responsabilidad de los daños a las posibles víctimas estafadas.
El correo en este caso utiliza la imagen de la empresa brasilera de lineas aéreas TAM con el pretexto de un programa de fidelidad, sorteos de dinero, viajes, etc. según se puede leer en el mensaje (errores incluidos):
Confirme seu cadastro e concorra a todos os prêmios da promoção vai de TAMEn la captura se puede ver el mensaje y el enlace:
Ao fazer viagens utilizando seu cartão de crédito ou cartão fidelidade você acumula pontos que lhe dará direito a vários prêmios de nossa promoção. Premiação varia de $ 500,00 ate $ 5.000,00 no final todos clientes fidelidade concorrera uma viagem a Holanda com um acompanhante por 30 dias com todas as despesas pagas pela TAM aproveitem nossa promoção e boa sorte!
Clique no endereço abaixo para se cadastrar em nossa promoção
Clique aqui para participar da promoção vai de TAM <- enlace malicioso
©2010 TAM Linhas Aéreas S.A. Proibida reprodução total ou parcial sem autorização
Correo - el enlace es el dominio legítimo
Se observa en el mensaje que el enlace http://blog.tam.com.br/p[ELIMINADO]/ dirige al dominio auténtico del Blog de TAM. Esto es algo raro e inusual, ¿será auténtico el mensaje?.Pero la propia redacción del correo sigue siendo sospechosa. Y aumentan las sospechas al verificar el encabezado del mensaje:
Encabezado - Servidor de origen ruso
En el encabezado se empiezan a confirmar las sospechas. El servidor remitente es de Rusia, un servidor de un organismo legislativo regional, el cual debe haber sido comprometido por atacantes para el envío de este correo que dice ser de una linea aérea brasilera.El enlace del correo lleva a una página donde vemos que hay dos enlaces para registrarse en el programa de fidelidad.
Ataque poco común
Lo novedoso e interesante de este caso es que se trata del sitio web auténtico al que los atacantes han conseguido violar y "plantar" unas cuantas páginas como esta primera que lleva a otras más.En este caso el phishing ha sido facilitado por la falta de seguridad en el sitio oficial del blog de la empresa aérea TAM.
Como se observa en la captura, un usuario no vería nada extraño. En la barra de dirección, el dominio es auténtico, aunque la página exhibida es falsa y nada lo ayuda a saber que es un engaño. Al menos hasta ahora.
El primer enlace http://blog.tam.com.br/p[ELIMINADO]/clientetam.htm lleva a esta página, donde se pretende concretar la estafa, robar datos personales y de tarjeta de fidelidad.
El segundo enlace mencionado antes lleva a http://blog.tam.com.br/p[ELIMINADO]/novocliente.htm donde se concreta también la estafa robando datos de tarjeta de crédito:
En este punto, a pesar de estar en el sitio web legítimo, el navegante entrenado debería dudar, pero debido a estar en el sitio web legítimo es muy probable que caiga en el engaño y entregue su información.
Luego de investigar los pormenores de este caso, y como es costumbre de Segu-Info, se reportó el caso a CERT de Brasil, además de los habituales sitios re reputación. Una cuatro horas más tarde se constata que la página de phishing plantada en el blog de TAM ya no estaba en linea.
Este caso demuestra que se debe estar atento y no confiar sólo en un signo de que el sitio o correo parecen genuinos. El correo con la redacción defectuosa, el pedido de datos sensibles de la tarjeta en una página sin SSL (sin httpS://) son datos al alcance de cualquiera para reconocer al sitio como sospechosos y así evitar divulgar cualquier tipo de información sensible.
Raúl de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!