20 sep. 2011

Phishing a Banco Galicia utiliza HTTPS

En este momento varios usuarios nos han reportado casos de Phishing al Banco Galicia (Argentina) en donde se han vulnerado sitios "seguros" (utilizan HTTPS) para alojar el sitio falso.


Como puede verse el enlace conduce a un sitio que efectivamente utiliza el protocolo HTTPS pero que en realidad no es el sitio real del Banco Galicia.
Si el usuario cae en la trampa e ingresa al sitio falso verá un sitio muy parecido al real pero con la diferencia que se solicitan cuantro campos de datos (el real solicita sólo los dos primeros). Los campos adicionales del número e tarjeta Banelco y la clave de transferencia permiten al atacante tener control casi completo de la cuenta para realizar transferencias de dinero desde la cuenta víctima:

Al presionar "Iniciar Sesion", el delincuente debe tomar los datos que faltan de la cuenta y que le permitirán realizar transferencias sin límite: la tarjeta de coordenadas y para ello solicita los 81 campos de la misma, a través del script baselogin.php:
Quien los ingrese estará completamente en las manos del delincuentes.

Hasta aquí el caso es el de un phishing normal pero este caso tiene el agravante que el sitio vulnerado tiene un certificado digital válido y todo el tráfico del sitio se realiza cifrado y supuestamente en forma segura. Aquí es donde comienza a derrumbarse el famoso mito de que "si se ve HTTPS y el candado, el sitio es real y confiable". Esto siempre ha sido absolutamente falso ya que los protocolos SSL/TLS/HTTPS sólo garantizan que el tráfico se envía en forma cifrada, pero nada más.

Si quien crea el sitio es un delincuente o, como en este caso, se vulnera un sitio seguro, la información será robada, en forma cifrada sí, en un sitio "seguro" sí, pero robada al fin.

Para identificar el sitio falso no sólo debe observarse el HTTPS y el famoso e inútil candado, debe observarse todo el entorno y en este caso era evidente que el dominio no pertenecía a Banco Galicia y nada tenía que ver con la entidad. Si no quiere ser robado, preste atención y no se deje llevar por consejos inútiles.

Actualización 22:00: luego de nuestra denuncia el sitio fue bloqueado y luego eliminado.

Cristian de la Redacción de Segu-Info

2 comentarios:

  1. Hola,
    Trabajo en sistemas y actualmente me reportaron un caso similira pero la URL es la misma a la del sitio real y lo que hace es lo siguiente: al ingresar a la´página real del banco, al segundo de abrir la página, coloca una foto para cargar usuario y contraseña y solicita la carga de la tarjeta de coordenadas. Se identifica fácilmente porque a la imagen de la tarjeta le saca el símbolo de "prohibido" y le pide ingresar los datos. Si se ingresa cualquier login, no lo valida. Si se quiere verificar el código de la página no lo permite.
    Symantec no lo identifica. Quisiera saber qué programa utilizar para eliminarlo. Gracias.

    ResponderEliminar
  2. Hola,
    Esa PC está infectada con un troyano que ubica una imagen encima del sitio real en el navegador.
    Son muy comunes y lo ideal es pasar un AV p/eliminarlo.

    Cristian

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!