PDA

Ver la versión completa : [Phising]Importante paso a paso, recomendado



clarinetista
14-12-2005, 00:34
A ver, como no hay seccion especifica de estafas online lo posteo aqui, si LUK o algun moderador me indican un lugar emjor pueden moverlo, o incluso crear un subfuro particular.
Bien, estoy hasta los gu***** de que me lleguen este tipo de correos asi que vamos a destripar juntos uno de estos correos.
primero abrimos como cada mañana nuestro cliente de correo electronico. En mi caso estoy usando la distro de GNU/linux Ubuntu, y mi gestor de correo es Evolution, que viene de serie.

Pues bien, miro mi correo y me aparece un supuesto correo de Cajamadrid indicandome que han sufrido varias estafas y que tienen que verificar mi cuenta, y me dan un enalce para que pinche.
Primera cosa que me hace desconfiar, yo jamas he tenido cuenta en Cajamadrid. Aun asi hay melones que envian estas cosas sin ton ni son. Bueno alla ellos. Pero aunque yo tuviera cuenta alli, JAMAS NINGUNA ENTIDAD BANCARIA TE SOLICITA ESTA REINTRODUCCION DE DATOS; JAMAS.
Y encima me dicen que si no lo hago antes de 24 horas me cerraran la cuenta. ¿Pero que cuenta? Vamos, no me jodas.

Seguimos, como se me han cruzao los cables voy a buscar mas info, y pincho en el link :

https://oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login

Bueno, al cargar me sale una pagina bastante parecida a la de Caja Madrid (¿alguien les podia decir a estos chicos que hay que currarse el diseño, por favor?).

Viendo con mi Firefox el codigo fuente y veo que se han currado una falsificacion de URL guapa, ya que han leido que Cajamdrid solo pide los datos en https://oi.cajamadrid.es.
Sin embargo, veo que la comprobacion se hace mediante javascript, cosa que nadie en su sano juicio se atreveria a hacer, mas que nada por motivos de seguridad.

Meto unos datos en las casillas (obviamente falsos), y sorprendentemente la pantalla carga y vuelve a aparcer la misma pantalla y me pide que vuelva a introducir los datos. Es como si nada hubiese pasado. si fuera un desprevenido usuario, pensaria que ha habido un error de la pagina y ya esta (craso error, mis datos estarian ya muy lejos, capturados y he sido redireccionado a la pagina oficial de caja madrid). Vuelvo a introducir los mismos datos falsos pero ahora me indica que esos datos introducidos son erroneos. Que cosas.

Pues volviendo al correo, paso el raton SIN hacer click sobre el y veo otra cosa. La direccion que me señala en la barra inferior es una direccion rarisisisisima, que nada tiene que ver con la de CajaMadrid (¿sorprendidos a estas alturas?). Pues bien, le digo que copie la ruta del enlace y la pego en la barra de direcciones de mi explorador Firefox, y me redirecciona a la pagina siguiente:

http://a1mna.co.kr/AsaMall/data/lopslogpir2.php

Si, correcto es lo que todos estabais pensando. es la primera pagina que se ha cargado en mi navegador al pinchar en el falso correo de Cajamadrid. Es la pecora que me ha robado los datos.
Por ultimo, podria taratr de descargarme la pagina para ver el codigo php, ya que este se ejecuta del lado del servidor, pero esos deberes los dejos para ustedes.

Como ultimo apunte, le digo con el boton derecho en el email "Ver todas las cabeceras del mensaje" y lo coloco para aqui, juzguen ustedes mismos, y lo dicho mucho cuidao.



Return-Path: <httpd@paris42.amenworld.com>
Received: from paris42.amenworld.com ([62.193.203.70]) by smtp03.retemail.es (InterMail vM.6.01.04.03 201-2131-118-103-20050206) with ESMTP id <20051213003431.VLEX1154.smtp03.retemail.es@paris42 .amenworld.com> for <tres@cable.es>; Tue, 13 Dec 2005 01:34:31 +0100
Received: (from httpd@localhost) by paris42.amenworld.com (8.10.2/8.10.2) id jBD0YUO02050; Tue, 13 Dec 2005 01:34:30 +0100
Fecha: Tue, 13 Dec 2005 01:34:30 +0100
Message-Id: <200512130034.jBD0YUO02050@paris42.amenworld.com>
Para: clarinetista@prostitutos.com :P //Editado, obivamente
Asunto: ID 375110 Caja MADRID Medidas de seguridad
De: hijosputas@comospilleoscagais.com
Responder a: hijosputas@comospilleoscagais.com
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Evolution-Source:
//Parece provenir de francia, segun lo obtenido en el whois, aunque investigando la web, sale toda ella en caracteres asiaticos

Recordad, JAMAS NINGUNA ENTIDAD BANCARIA TE SOLICITA TUS DATOS DE ACCESO A TRAVES DEL CORREO, JAMAS .

SxR
14-12-2005, 01:31
Hecharé un vistazo (en cuanto arregle mi ordenador) pero veo que el tema pinta bien para aprender :)

R3D5KULL
14-12-2005, 18:58
UUUMMM, me he jodido los ligamentos de la rodilla jugando al basket, con lo cual estoy haciendo reposo (delante del ordenador) las 24h del día. Así que creo que ya tengo en que entrenerme....

j8k6f4v9j
14-12-2005, 23:16
Meto unos datos en las casillas (obviamente falsos), y sorprendentemente la pantalla carga y vuelve a aparcer la misma pantalla y me pide que vuelva a introducir los datos. Es como si nada hubiese pasado. si fuera un desprevenido usuario, pensaria que ha habido un error de la pagina y ya esta (craso error, mis datos estarian ya muy lejos, capturados y he sido redireccionado a la pagina oficial de caja madrid). Vuelvo a introducir los mismos datos falsos pero ahora me indica que esos datos introducidos son erroneos. Que cosas.Es extraño, a mí me dió contraseña errónea a la primera.

Y la php ( http://a1mna.co.kr/AsaMall/data/lopslogpir2.php ) me da forbidden. Algunos datos que hay por ahí

El rollo de los datos y tal que te sueltan está aquí --> pop_up_seguridad_oi.PDF (https://oi.cajamadrid.es/Ficheros/CMA/ficheros/pop_up_seguridad_oi.PDF)

Más aún --> ensite:oi.cajamdrid.es (http://www.google.es/search?hl=es&lr=&sa=G&q=site:oi.cajamadrid.es) (google ;) )

forbidden (http://img389.imageshack.us/img389/1227/forbidden2pc.png)
algunos datos (http://img389.imageshack.us/img389/9515/algo4iq.png)

www.cajamadrid.es has address 213.164.164.74
oi.cajamadrid.es has address 213.164.164.68

clarinetista
14-12-2005, 23:39
Si, esta mañana me he dao cuenta de que habian chapao el garito.
pero tengo el correo original, si quereis alguno os lo paso para investigar mas.
j8, la direccion que posteo era una redireccion, y sospecho que no era la unica, pero yo solo tengo la direccion inicial y final de la misma.

joder, mientras escribo este post he encontrado una nueva direccion, pero presiente que solo durara esta noche, daos prisa si quereis echar un ojo.

http://www.webnlaw.com/zeroboard/icon/lopslogpir2.php

Y al final como ya dije en mi anterior post te envian al la de Cajamadrid, oi.cajamadrid.es, que es la direccion htpps real de Cajamadrid

j8k6f4v9j
14-12-2005, 23:47
Ésta funciona tal y como describiste la primera. Sólo que pide la firma después del falso login

clarinetista
15-12-2005, 00:08
Bien, pero sigue pidiendo la firma desde el falso servidor, y luego te redirecciona a cajamadrid.