27 may 2013

#Phishing de Banco Provincia de Buenos Aires

Después de una semana, recibimos hoy una nueva denuncia de correo falso enviado supuestamente por el Banco Provincia de Buenos Aires (Argentina). El (falso) pretexto del mismo se puede leer a continuación (errores ortográficos incluidos):

Apreciable Cliente BANCO PROVINCIA :

Tenemos para usted informacion de suma importancia, el cual es de caracter privado y unicamente usted puede y debe ver.

Para ver la informacion debe entrar aqui
Por su compresion y tiempo Banco Provincia le da las gracias.

NOTA: Para ver la informacion debe acceder a su servicio especifico.

Ante cualquier consulta puede contactarnos a nuestro servicio de atencion a Clientes, disponible las 24 Horas del Dia o a travas de nuestra pagina Web www.bapro.com.ar

Saluda Atentamente a usted
Banco Provincia
[email protected]

En la siguiente captura se ve el correo y los enlaces que llevaran a la víctima del engaño a un sitio falso:

Correo Falso

En los encabezados del correo se observa que el mismo fue enviado mediante una cuenta de correo legítima que ha sido abusada. Los atacantes han conseguido probablemente las credenciales del usuario.
Encabezado de correo - abuso de cuenta de correo legítima

El correo contien enlaces que dirigen todos a: http://www.extra[ELIMINADO].lt/js/ y este redirige mediante un comando POST al la página falsa: www.g[ELIMINADO]quet.pl/system-baproarg-privincia/eBanking/login/login.htm .

Pagina Falsa - Ingreso de Usuario

Si la víctima ingresa su usuario y contraseña, luego pasa a una página que le solicita mas información confidencial que obtendrán los delincuentes. Las preguntas de seguridad para validar identidad positiva:
Pagina Falsa - Preguntas de Seguridad - Identificación positiva

Con los datos robado mediante el engaño, los delincuentes podrán venderlo o usarlos para realizar extracciones de dinero o movimientos fraudulentos en la cuenta de la víctima.

Tanto el enlace del correo como el sitio donde está la pagina falsa son sitios web legítimos con fallas de seguridad que permitieron a los delincuentes manipularlos para sus fines de robo.

Así se ve la pagina de entrada del sitio que aloja la página falsa, ha sido además "owneado" por un grupo de hackers, que probablemente no esté relacionado con el phishing, aunque no podemos determinarlo con seguridad:
Sitio que aloja el Phishing hackeado

Como es norma de Segu-Info, hemos reportado los sitios abusados en Phishtank, en Safebrowsing y a sus dueños. Además hemos dado aviso temprano al banco afectado, quienes ya están trabajando sobre el caso.

Actualización: ante las denuncias y la falta de respuesta de los dueños de los sitios abusados, los delincuentes cambiaron la redirección a una pagina similar en el mismo sitio abusado en un claro intento de evitar los bloqueos que se realizan gracias a OpenDNS (Phishtank) y Safebrowsing.

Raúl de la Redacción de Segu-Info
a las

2 comentarios:

  1. Juan Manuel11 de junio de 2013, 11:34 a.m.

    Me llego uno con este link, lo mando para sumar a la denuncia:
    http://www.ijr.org.za/uploads/Vacancy/clickonlineargentina9843289032843278901/www.bapro.com.ar/eBanking/login/login.htm

    ResponderBorrar
  2. Anónimo30 de junio de 2013, 1:20 p.m.

    Recibí el 30/06 un mail con este link, por favor sumar a la denuncia
    http://www.wpcdenver.org/sermons/arg/baprobip/


    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!