[Seguridad] Phishing a VISA Argentina – Falso premio de 100 dólares

December 15th, 2010 | Posted by in Uncategorized - (0 Comments)

Estamos recibiendo avisos sobre la llegada de correos falsos sobre un supuesto premio de 100 dólares para los clientes de VISA Argentina. Por supuesto es un engaño. El correo dice (errores incluídos):

Sr. Cliente: Felicitaciones! Usted es acreedor de 100 dólares de premio debido a que ha sido uno de los ganadores de Visa en su sorteo 100 Dólares Navideños.
Los mismos serán acreditados en su tarjeta de crédito Visa en un plazo de 24/48 horas hábiles luego de que ingrese a la dirección Web que le brindamos en la parte inferior de este mensaje. Verifique los datos de su tarjeta para procesar su premio.

 Correo falso – el enlace apunta a un
sitio montado por los delincuentes

El sitio web falso para el robo de información luce así:

Se puede observar más abajo que los delincuentes fueron descuidados pues parece que adaptaron un sitio falso preparado para Mastercard!

Y también tienen montado un segundo sitio casi igual pero con “mejor terminación”:

Se puede observar que se solicitan datos que jamás se deberían ingresar como: fecha de nacimiento, límite de crédito, código de seguridad, dirección donde llega el resumen. Con todo lo solicitado los delincuentes pueden hacer compras a cargo del titular de la tarjeta.

Como es política de Segu-Info hemos procedido a denunciar el caso a los DNS involucrados, a PhishTank, APWG y WOT y algunos navegadores ya identifican el sitio como falso.

Nota: además de la información volcada en este post, disponemos de información adicional que será entregada para una posterior investigación.

Actualización: luego de nuestra denuncia ambos sitios han sido dados de baja.

Raúl de la Redacción de Segu-Info


, , , , , , , , , , , , , , , , ,

Phishing a Visa, sitio de autor de libro vulnerado y XSS en empresa de emarketing (all in one!)

November 20th, 2010 | Posted by in Uncategorized - (0 Comments)

Varios lectores de Segu-Info nos han informado ayer y hoy sobre la recepción de correos de phishing a Visa Argentina. El engaño utilizado en el correo es sobre supuestas irregularidades en la cuenta como se puede leer en el mensaje:

Estimado Cliente: Visa Home esta constantemente trabajando para su seguridad, hemos notado una serie de irregularidades en su cuenta en los ultimos días y tuvimos que suspender el acceso a su cuenta temporalmente, para reactivar su cuenta por favor dirijase a
https://inetserv.visa.com.ar/vhs/app/Login.po
Y llene los campos necesarios, esto hará que restablezcamos su cuenta lo antes posible.

Lamentamos las molestias.

Merlina Irigotia, Departamento Legales, Visa Argentina.

Correo falso con enlace abusando de XSS de empresa de marketing

El enlace en este correo redirige a un sitio abusado (regex.info). Y como se puede ver utiliza una falla XSS de una empresa local de e-marketing (Emblue) que permite enviar la URL de destino a través de un parámetro:  http://ex[ELIMINADO]et.com/Mod_Campaigns/tracking.asp?idem=9601283&em=[ELIMINADO]@gmail.com&ca=19167&ci=0&me=16306&of=91434&adirecta=0&url=http%3A%2F%2F67%2E[ELIMINADO]%2F0f5db79e7fa800%2Findex%2Ephp

El sitio de phishing, que ya fue eliminado, lucía de esta forma:

Sitio Web Falso – Pide información para robar

Como se ve destacado en la imagen, el sitio falso solicita información que jamás se debería ingresar. Con esa información los delincuentes realizarán compras con la tarjeta del incauto usuario que caiga en este engaño.

Como realizamos siempre en estos casos en Segu-Info, procedimos a reportar el caso a los sitios habituales y pudimos contactar al dueño de ese sitio web abusado para informarle, quien rápidamente nos agradeció:

Thanks so much for the report… I’ve shut down my web server until I can
figure out how they got in. )-:      – Jeffrey

Nota: Jeffrey Friedl es autor de un libro sobre expresiones regulares y nos ha informado que bajó el sitio hasta tanto lo revisa y descubre como ingresaron.

Por otra parte desde Segu-Info se volvió a notificar a la empresa Emblue que su sitio está siendo usado por los delincuentes para ocultar el ataque de phishing. Esperamos que Emblue nos responda y más importante que eso que corrijan el problema de XSS que poseen y que facilita a los delincuentes esta operatoria delictiva. Los delincuentes aprovechan estas vulnerabilidades para escapar a los filtros de correo que valoran la reputación de las direcciones que contienen. Y como se ve en este caso lo han logrado.

¡Gracias Marco, Martin, Belen y Julio por los respectivos reportes!

Actualización: Jeffrey, de reg.info ya corrigió el sitio de su libro, está en línea nuevamente, y sin phishing!

Raúl y Cristian de la redacción de Segu-Info


, , , , , , , , , , , , , , , , , , ,

Phishing al Banco Do Brasil

November 19th, 2010 | Posted by in Uncategorized - (0 Comments)

Esta mañana hemos recibido informe de un nuevo caso de phishing a Banco do Brasil. Como en casos anteriores, el correo usa un falso argumento que jamas enviará ningun banco, una contraseña expirada. El texto original, en portugués, dice:

Prezado(a) Cliente:
Verificamos que sua senha da central de atendimento encontra-se expirada em nosso sistema.
Para sua segurança, recomendamos sua reativação.
Renovação de Senha: é uma solução que torna mais seguro as transações que você realiza
no auto-atendimento e da melhoria contínua nos processos de proteção e privacidade ao cliente.
Renovação de senha da central de atendimento
Atenção: Verifique sempre o remetente da mensagem, para sua segurança.

En el correo engañoso que incluye términos sobre seguridad, protección, privacidad y otros, al final sugiere comprobar el remitente, dato que puede falsificar un niño en cualquier correo.

Se observa el enlace que dirige a un sitio que no es del banco.

El enlace redirige al usuario a http://forum[ELIMINADO]kh/bb-templates/kakumei/images/Portalbb/ que es un sitio de juegos en un dominio de Camboya que ha sido comprometido para alojar la página web falsa para este engaño.

Se solicita Agencia y Cuenta …

…luego con un Código de Autenticación (falso) se pide la clave de la tarjeta …

… una barra de progreso animada simula el procesamiento…

… con otro Código de Autenticación (falso)se  pide el PIN telefónico …

… y se ha finalizado el robo de datos al usuario.

Irónicamente, el último enlace Home dirige al usuario al verdadero sitio del Banco con lo que se evitan mayores sospechas a la víctima de este engaño.

Todas las pantallas simuladas están realizadas en Flash, realizan validaciones de dígitos verificadores y de contraseñas o PIN inválidos, demostrando un conocimiento y empeño mayor al que habitualmente observamos.

Desde Segu-Info procedimos a denunciar el caso de phishing en Phishtank, APWG, MyWOT, SafeBrowsing de Google y SmartScreen de Microsoft. Como resultado de ello el sitio resulta inaccesible en muchos casos y aguardamos a que sea dado de baja.

Raúl de la redacción de Segu-Info


, , , , , , , ,

“Runes of Magic” lanza un nuevo cliente reducido

October 26th, 2010 | Posted by in Uncategorized - (0 Comments)

Los jugadores que deseen probar el popular MMORPG Runes of Magic,
lo tendrán ahora mucho más fácil. Frogster ha lanzado un nuevo y
reducido cliente de Runes of Magic, que está ya disponible para su
descarga. Con un peso de 3.5 GB, este instalador reducido pesa
aproximadamente la mitad del antiguo, lo que ahorrará también a la
mitad el tiempo necesario para descargarlo.

, , , ,

Vuze 4.5.0.7 Beta 1

October 10th, 2010 | Posted by in Uncategorized - (0 Comments)

Vuze es un cliente torrent
anteriormente conocido como Azureus, está escrito
en Java y usa el motor de
Azureus. Incluye un potente metabuscador con
posibilidad de conectarse a trackers privados.Ya está disponible para descargar
Vuze 4.5.0.7 Beta 1, la nueva
versión no final recién lanzada de este programa
gratuito. Vuze está disponible en
español para todas las versiones de
Windows y también para Mac OS y
Linux.

, , , , , , , ,