Nuevo Phishing a Banco Macro utiliza Flash
Desde anoche a última hora hemos recibido decenas de denuncias de correos falsos que dicen provenir del Banco Macro o de VISA pero que en realidad son Phishing que tienen ciertas particularidades interesantes que analizaremos a continuación.
Como siempre el correo falsificado es un aviso sobre la suspensión de la cuenta y como se puede ver a continuación existe un error importante en en el "From" del correo:
Si el usuario hace clic sobre el enlace dañino ingresará al sitio falso, donde se le solicitarán los datos de acceso al banco:
La particularidad de este sitio es que parte del mismo está desarrollado en Flash, específicamente donde se solicitan los datos y si se analiza el código fuente, se puede ver que se utilizan distintos archivos SWF y XML que en conjunto conforman el formulario falso y los datos que se desean robar, así como el archivo PHP que finalmente graba la información sustraída al usuario:
Al ejecutar los archivos PHP, se observa la siguiente salida, lo cual seguramente confirma que el correo con los datos robados fue enviado al delincuente:
Luego de robar esos primeros datos, a través del mismo método se solicitan los datos de validación positiva del usuario, como son las preguntas de validación que se realizan cuando el usuario se comunica por teléfono con la entidad o para validar algún dato adicional:
Finalmente se solicitan los 81 campos de la tarjeta de coordenadas, la cual es utilizada para validar al usuario al momento de una transferencia bancaria:
Obviamente, luego de la finalización de este proceso el delincuente tiene toda la información del usuario y puede realizar cualquier tipo de delitos sobre la cuenta del afectado.
En este caso, si bien el proceso de robo de información es el mismo de cualquier otro phishing pero se ha incorporado el uso de Flash como un elemento que, en primera instancia, puede verse como complicado pero que en realidad simplemente termina siendo algo anecdótico y de cuestiones estéticas.
Nota: luego de los primeros reportes en la noche, desde Segu-Info hemos procedido a contactarnos con los sitios afectados y la página falsa ha sido eliminada. Aquí se puede ver un reporte realizado desde Antiphishing.com.ar
Cristian de la Redacción de Segu-Info
Como siempre el correo falsificado es un aviso sobre la suspensión de la cuenta y como se puede ver a continuación existe un error importante en en el "From" del correo:
Luego de robar esos primeros datos, a través del mismo método se solicitan los datos de validación positiva del usuario, como son las preguntas de validación que se realizan cuando el usuario se comunica por teléfono con la entidad o para validar algún dato adicional:
En este caso, si bien el proceso de robo de información es el mismo de cualquier otro phishing pero se ha incorporado el uso de Flash como un elemento que, en primera instancia, puede verse como complicado pero que en realidad simplemente termina siendo algo anecdótico y de cuestiones estéticas.
Nota: luego de los primeros reportes en la noche, desde Segu-Info hemos procedido a contactarnos con los sitios afectados y la página falsa ha sido eliminada. Aquí se puede ver un reporte realizado desde Antiphishing.com.ar
Cristian de la Redacción de Segu-Info
Después de muchas vueltas es la única página donde he encontrado referencia a este tema. Tengo un amigo q le pasa esto en su PC, hemos pasado mil antivirus y nada. Como podemos eliminar este virus.
ResponderBorrarMuchas gracias
Anonimo, a que virus te refieres ?
ResponderBorrarCristian
Cristian, perdón, no se si es técnicamente un virus, pero en la PC después de abrir un correo que recibió de un amigo y aun después de reiniciarla, borrar temporales, y todo lo normal que se pueda hacer, le sucede lo que ustedes describen en la nota, es decir cada vez que ingresa a la pagina del homebanking del Banco Macro se ejecuta una aplicación q primero te pide los datos para iniciar sesión y una vez que te logueaste a tu cuenta te pide todos los datos de la tarjeta de coordenadas. Alberto.
ResponderBorrarPor lo descripto sí parece un malware. Un antivirus debería detectarlo y por otro lado no dudes en ponerte en contacto con el banco porque alguien podría utilizar los datos de la cuenta.
ResponderBorrarCristian
Nuevamente estan llegando correos con este Phishing de banco macro. ya me comunique con la gente del banco en cuestión y estan trabajando en ello para ver que pueden hacer. La verdad que se han esmerado mucho en el trabajo que hicieron estos programadores, ya que me resultaba muy dificil reenviarlo al banco para que lo analizen. quiero darles las gracias a ustedes y a su sitio por mantenernos informados de estas cosas que pueden perjudicar a cualquier descuidado o desinformado. Con el pequeño aporte de todos podemos hacer grandes cosas. Saludos a todos!
ResponderBorrar