Phishing a VISA, utiliza scripts de... VISA
Hace instantes hemos recibido una denuncia de un nuevo caso de phishing a VISA, en donde destaca que los delincuentes han actualizado la interface del sitio falso a la misma que la del nuevo sitio VISA y incluso insertando los scripts del sitio verdadero.
Como siempre el sitio falso se promociona a través de correos que simulan provenir de VISA:
http://human.sr[ELIMINADO].ac.th/human/wp-content/uploads/visaargentina.html
Y este finalmente conduce a:
http://jizz[ELIMINADO].com/www.visa.com.ar/login;jsessionid=t1UUeqw1DfXsi5SQVeQ9hD1F.html
Una vez robado estos primeros datos (documento y contraseña), se intenta robar todos los datos de la tarjeta de crédito del usuario:
Y, finalmente como es costumbre se redirige al usuario al sitio verdadero de VISA.
Al analizar el código fuente del sitio falso, se puede observar lo siguiente:
Aquí destaca que todos los enlaces de los scripts (.JS) y estilos (.CSS) utilizados por el sitio falso son cargados desde el sitio verdero de VISA, lo cual implica que la empresa no realiza ningún tipo de verificación sobre quien carga sus scripts y permite que los delincuentes utilicen su servidor para generar la página falsa.
Si bien no es un tema crítico, facilita en forma innecesaria el trabajo del delincuente y habla por sí solo de la "importancia" que dá la empresa al tema del phishing.
Actualización: los correos falsos están siendo enviados desde un sitio web vulnerado y que utilizan un popular script en PHP para realizar los envíos:
Además, esta persona (que se autodenomina Sqlc4rd o Mrcardgolden o Diosdelcarding) realiza las estafas desde hace al menos 2 años, momento en el cual se había puesto en contacto con Segu-Info para vanagloriarse de sus actividades:
Cristian de la Redacción de Segu-Info
Como siempre el sitio falso se promociona a través de correos que simulan provenir de VISA:
Estimado Socio.En enlace conduce al siguiente sitio falso:
Por medidas de seguridad hemos suspendido
su tarjeta de credito y debito para toda operacion
debido a que hay una faltante de datos erroneos
en su cuenta de visa home. se le sugiere que ingrese
al link que figura debajo para seguir utilizando el sistema.
Dirección Web
https://inetserv.visa.com.ar/visahome/login;jsessionid=roqXczW (redirección al sitio falso)
http://human.sr[ELIMINADO].ac.th/human/wp-content/uploads/visaargentina.html
Y este finalmente conduce a:
http://jizz[ELIMINADO].com/www.visa.com.ar/login;jsessionid=t1UUeqw1DfXsi5SQVeQ9hD1F.html
Una vez robado estos primeros datos (documento y contraseña), se intenta robar todos los datos de la tarjeta de crédito del usuario:
Al analizar el código fuente del sitio falso, se puede observar lo siguiente:
Si bien no es un tema crítico, facilita en forma innecesaria el trabajo del delincuente y habla por sí solo de la "importancia" que dá la empresa al tema del phishing.
Actualización: los correos falsos están siendo enviados desde un sitio web vulnerado y que utilizan un popular script en PHP para realizar los envíos:
Además, esta persona (que se autodenomina Sqlc4rd o Mrcardgolden o Diosdelcarding) realiza las estafas desde hace al menos 2 años, momento en el cual se había puesto en contacto con Segu-Info para vanagloriarse de sus actividades:
Cristian de la Redacción de Segu-Info
No estarán de mas las apreciaciones del tipo "Si bien y habla por sí solo de la "importancia" que dá la empresa al tema del phishing"?. No me parece información estrictamente técnica la que estás dando.
ResponderBorrarAnonimo,
ResponderBorrarAl margen de que no la daría porque ayudaría a los delincuentes, que informacion tecnica neccesitas?
Cristian