Phishing al Banco Comafi (Argentina)

Hemos recibido la denuncia de correos falsos del Banco Comafi de Argentina en donde los delincuentes dicen que supuestas transferencias a nombre del cliente han sido bloqueadas y por lo tanto se deben ingresar al HomeBanking a desbloquearlas y poder cobrar el dinero correspondiente:

Como es evidente el enlace lleva a una dirección IP, donde el usuario verá un sitio parecido al real y se le solicitará la información de acceso (documento y clave):

El robo de datos está realizado de una manera bastante particular y no demasiado común en estos casos pero seguramente obedece a la forma en que está desarrollado el sitio web original. Cuando el usuario ingresa sus datos personales, los mismos son enviados a través de AJAX al delincuente, mediante un script PHP llamado login.php.

Analizando uno de los campos de las cabeceras del correo que llegan al usuario:

Message-ID: <20110914062110.50f47108779@mail.[ELIMINADO]alternativas.com>
Sender: [email protected]

Puede observarse que si bien el sender dice ser el mismo banco, en realidad proviene de un SMTP de un servidor vulnerado, que por supuesto nada tiene ver con el banco.

¡Gracias P. por la denuncia!

Cristian de la Redacción de Segu-Info