4v7n42
24-06-2011, 16:36
Los delincuentes informáticos constantemente buscan nuevos objetivos vulnerables para montar sus engaños. Sin embargo, muchas veces esta actividad lleva a cometer errores los cuales pueden poner en evidencia algún dato del delincuente.
A lo largo del tiempo, los ataques de phishing han demostrado que sigue siendo un negocio muy rentable para los criminales. El único objetivo de este ataque es el de robar las credenciales de servicios bancarios de las víctimas. En esta ocasión, vamos a compartir con ustedes un nuevo caso de phishing realizado a una entidad financiera.
El ataque se inicia a partir de un correo simulando provenir de una entidad bancaria, en donde se le informa a la víctima sobre una supuesta suspensión de la cuenta bancaria de la misma. Para resolver dicho problema, en el cuerpo del correo se adjunta un enlace para la reactivación de la cuenta:
http://i.imgur.com/U3AI7.png
Podemos apreciar que muchas veces en el link del mensaje de correo, se puede ver la dirección URL a donde se quiere llevar a la víctima, tal como lo publicamos hace algún tiempo atrás en descubriendo enlaces engañosos. Una vez que el usuario accede al enlace se encuentra con una imitación de la página verdadera de la entidad financiera, en donde una vez que se ingresa los datos se envían a alguna cuenta del criminal informático.
Para entender mejor el ataque que realiza este phisher, se realizó un análisis de los directorios web donde se encontraba alojado este engaño. Al mirar el listado de las carpetas y archivos pudimos encontrar el paquete que utiliza el criminal para montar la pagina del phishing bancario, todo esto comprimido en un archivo:
http://i.imgur.com/FrTpN.png
Podemos ver en la imagen el código fuente del archivo de la página del phishing. Lo que hace esta línea es que cuando se ingresa los datos de la cuenta bancaria de la victima estos son enviados a un formulario llamado “a.php”:
http://i.imgur.com/3PXuh.png
En el código fuente del archivo “a.php” encontramos que los datos de las víctimas son enviados a un correo electrónico del criminal desde un archivo de texto, mediante un mensaje armado indicando la fecha, la dirección IP, el usuario y la contraseña.
El criminal a la hora de montar este engaño no tuvo en cuenta la eliminación del paquete que utiliza. Un dato curioso de este caso, es que el archivo de texto de los datos de las victimas que se encontraba comprimido, tenía una serie de datos de prueba realizadas ese mismo día, todos de una misma IP proveniente de España.
Fuente (http://blogs.eset-la.com/laboratorio/2011/06/22/phisher-olvida-datos-servidor-vulnerable/)
A lo largo del tiempo, los ataques de phishing han demostrado que sigue siendo un negocio muy rentable para los criminales. El único objetivo de este ataque es el de robar las credenciales de servicios bancarios de las víctimas. En esta ocasión, vamos a compartir con ustedes un nuevo caso de phishing realizado a una entidad financiera.
El ataque se inicia a partir de un correo simulando provenir de una entidad bancaria, en donde se le informa a la víctima sobre una supuesta suspensión de la cuenta bancaria de la misma. Para resolver dicho problema, en el cuerpo del correo se adjunta un enlace para la reactivación de la cuenta:
http://i.imgur.com/U3AI7.png
Podemos apreciar que muchas veces en el link del mensaje de correo, se puede ver la dirección URL a donde se quiere llevar a la víctima, tal como lo publicamos hace algún tiempo atrás en descubriendo enlaces engañosos. Una vez que el usuario accede al enlace se encuentra con una imitación de la página verdadera de la entidad financiera, en donde una vez que se ingresa los datos se envían a alguna cuenta del criminal informático.
Para entender mejor el ataque que realiza este phisher, se realizó un análisis de los directorios web donde se encontraba alojado este engaño. Al mirar el listado de las carpetas y archivos pudimos encontrar el paquete que utiliza el criminal para montar la pagina del phishing bancario, todo esto comprimido en un archivo:
http://i.imgur.com/FrTpN.png
Podemos ver en la imagen el código fuente del archivo de la página del phishing. Lo que hace esta línea es que cuando se ingresa los datos de la cuenta bancaria de la victima estos son enviados a un formulario llamado “a.php”:
http://i.imgur.com/3PXuh.png
En el código fuente del archivo “a.php” encontramos que los datos de las víctimas son enviados a un correo electrónico del criminal desde un archivo de texto, mediante un mensaje armado indicando la fecha, la dirección IP, el usuario y la contraseña.
El criminal a la hora de montar este engaño no tuvo en cuenta la eliminación del paquete que utiliza. Un dato curioso de este caso, es que el archivo de texto de los datos de las victimas que se encontraba comprimido, tenía una serie de datos de prueba realizadas ese mismo día, todos de una misma IP proveniente de España.
Fuente (http://blogs.eset-la.com/laboratorio/2011/06/22/phisher-olvida-datos-servidor-vulnerable/)