Phishing al Banco de Tucuman (Argentina) roba tarjetas de coordenadas

En las últimas horas en Segu-Info hemos recibido varias denuncias de correos que dicen provenir del Banco de Tucumán pero en realidad proviene desde un servidor de Colombia y posteriomente buscan engañar al usuario para robar sus credenciales y tarjetas de coordenadas.

El encabezado del correo falsificado es el siguiente:

To: [email protected]
Subject: Notificacion importante!
FROM: Banco Tucuman
Reply-To: [email protected]

Pero, en realidad si se analiza el encabezado en profundidad se puede ver claramente que el correo proviene de un servidor ajeno a la entidad mencionada: www.colombia[ELIMINADO].com.co [XXX.98.36.27, XXX.162.212.144]:

El correo es enviado masivamente a miles de usuarios desde el siguiente formulario PHP programado para enviar spam desde servidores vulnerados:

El contenido del correo falso con el engaño es el siguiente:

Como puede verse en enlace conduce a un sitio de terceros que nada tiene que ver con el Banco. Luego, este enlace conduce a otro sitio a través de una redirección que se ve a continuación:

Aquí, finalmente se accede al sitio falso http://www.[ELIMINADO]thsandesh.com//news/.4/https/hbsrv.btonline.com.ar/Inicio.html y el usuario verá lo siguiente:

Por supuesto el sitio busca robar usuario y contraseñas pero además es capaz de robar la tarjeta de coordenadas de la víctima:

Finalmente, el delincuente almacena los datos robados en dos archivos de texto llamados "coordfrances.txt" y "coordtucuman.txt":

Una vez más vemos lo sencillo que resulta engañar a un usuario a través de simples formularios falsificados y alojados en sitios vulnerados por los delincuentes.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín