23 ago 2013

#Phishing a #MercadoPago roba más de 60 usuarios válidos

En las últimas horas hemos recibido al menos una decena de denuncias relacionadas a correos falsos de Mercado Pago y Banco Francés alojados en un sitio argentino.

En el caso de Mercado Pago el asunto del correo falso es "Cuenta Suspendida" y es el siguiente:
En el caso del Banco Francés el asunto del correo falso es "Sistema de Seguridad" y es el siguiente:
Como es fácil apreciar, en ambos casos los enlaces hacen referencia a http://www.banca[ELIMINADO].com.ar/fotos/MercadoPago/ y http://www.banca[ELIMINADO].com.ar/fotos/Frances/, lo que indica que el sitio ha sido vulnerado y se ha alojado varios casos de sitios falsos financieros y bancarios en el mismo servidor.

Efectivamente al revisar el sitio pueden encontrarse los sitios falsos, como el siguiente de Mercado Pago:
Por resumir, no aburrir e ir a lo realmente importante, no coloco los demás sitios falsos. Solo basta buscarlos en nuestro sitio, ya que es más de lo mismo.

Lo interesante es lo que encontramos en el servidor, el cual había sido totalmente controlado no por un delincuente sino por varios. Inicialmente se hizo una revisión del directorio "Fotos", donde se habían alojado los sitios falsos:
Aquí pueden verse los directorios donde se han alojado los sitios falsos, los archivos ZIP/RAR con información que analizaremos enseguida y archivos PHP y Python que son Shells para controlar el servidor y que evidentemente han sido subidas por los delincuentes para hacer sus "tareas".

Al descargar el archivos "MercadoPago.zip" se puede ver lo siguiente:
Este archivo ha sido subido al servidor y posteriormente descomprimido dando origen a la carpeta "MercadoPago" con todo el sitio homónimo ya visto. En el archivo "log.php" se puede encontrar los datos de correo del delincuente, donde se enviarán los datos robados a las víctimas.

En otro de los archivos se puede encontrar el caso de Banco Francés y, de igual manera el correo del delincuente:
Y, en un tercer ZIP podemos encontrar algo aún más jugoso que son los datos robados por los delincuentes, correspondientes al los datos de acceso (usuario y contraseña) del Banco Francés:
Analizando el archivo "chupala.txt" (sic) se pueden encontrar datos falsos, que han sido ingresados por personas que se han percatado del engaño, y datos reales (como los de la imagen) que han sido ingresados por víctimas que nunca se han dado cuenta que habían ingresado a un sitio falso del banco.

Eliminado los datos repetidos y los falsos, se pueden encontrar 67 documentos distintos que han sido ingresados con sus respectivas contraseñas durante un día, lo cual brinda una idea aproximada del éxito de los delincuentes con estas estafas.

Lo mismo sucede con los datos robados de las cuentas y las tarjetas de débito:
En el próximo post seguiremos viendo otras "curiosidades" encontradas en el servidor vulnerado, del cual ya se han eliminado los archivos y sitios falsos mencionados.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

1 comentario:

  1. GRACIASSSSSSSSSSS!! lo difundo para que nadie caiga en esto.
    Saludos.

    Lincris

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!