Alerta: Lima recibe correos falsos del Bco. Credito
Thursday 21 de June del 2007El pishing es de nunca acabar… aca dejo un informe creado por Infocon hace poco.
INFOCON: Verde
Descripción/Resumen:
• Durante esta semana el banco de crédito liberó una nota de prevención a todos sus usuarios ante la aparición de mensajes de correo que falsificaban a dicha institución, por medio contenido de correo y de web sugestivo.
Destinos de Infección/Vulnerabilidad:
• Todos los usuarios de Internet que desprevenidamente ingresen datos privados de sumo valor en supestas páginas confiables.
Impacto Directo:
• Pérdidas económicas por robo de cuentas en tarjetas de crédito y débito, entre otros datos de valor personal.
Rastros:
• La forma de indetificar estos mensajes falsos:
• - Prometen regalos, ofertas, premios (juegan con la sicología humana)
• - Advierten de pérdida de funcionalidad (juegan con la sicología humana)
• - Están mal redactados (a fin de robar rápidamente sus datos)
• - Usan sitios web falsos (bajo diversas técnicas)
• - Vienen por correo electrónico (porque son efímeros)
Resumen técnico:
• A ésta técnica se le conoce como PHISHING o pesca - término empleado por los piratas informáticos cuyos métodos y argucias tienen como fin obtener la información financiera y las contraseñas de los usuarios mediante engaños, correos con direcciones falsificadas y duplicación ilícita de sitios legítimos en Internet, entre otros - el término se deriva de fishing = pesca, también se usa intercambiablemente con spoofing.
• Este fue el supuesto mensaje falso que recibieron clientes de ViaBCP:
• > Subject: FELICITACIONES UD. HA GANADO UN BONO
• >
• > ¡Te Hiciste Acreedor De Un Bono En Tu Cuenta!
• >
• >
• > Estimado(a) Sr(a):
• >
• > Tenemos el agrado de comunicarte que según la información registrada en el
• > banco al 27 de Abril del 2004, a sido beneficiado(a) con un bono exclusivo
• > de incremento en tu cuenta de 350 soles y/o 100 dolares americanos. Con
• > los que podrás contar desde este momento.Para ello debes contar con:
• >
• > tener una cuenta activa con nuestro banco.
• > clave virtual .
• > realizar movimientos virtuales.
• > pagos al dia en tarjetas de credito y servicios de nuestro banco.
• >
• >
• > También cuentas con los siguientes beneficios:
• > 1. Acceder a tus tarjetas visa y American Expres.
• > 2. Seguro contra fraudes que cubre todos los consumos generados en caso de
• > robo o pérdida de tu Tarjeta desde el momento que reportaste el incidente
• > a BCP.
• > 3. Seguro de desgravamen que cubre el saldo deudor hasta un maximo de
• > US$25,000.
• > Acumular puntos Bonus por tus compras.
• > Obtener tarjetas adicionales gratis
• >
• > Consulte en línea su saldo Actual en: < target=_blank>http://216.119.71.129/Redirect.asp>
• > https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
• >
• > Que esperas! ingresa ahora tu mismo y hazte acreedor de tu bono……….
• > felicidades!!!
•
• Al analizar la dirección IP 216.119.71.129, descubrimos lo siguiente:
• OrgName: CrystalTech Web Hosting Inc.
• OrgID: CRTW
• Address: 6135 N. 7th St
• City: Phoenix
• StateProv: AZ
• PostalCode: 85014
• Country: US
• NetRange: 216.119.64.0 - 216.119.127.255
• CIDR: 216.119.64.0/18
• NetName: CRYSTALTECH-BLK-1
• NetHandle: NET-216-119-64-0-1
• Parent: NET-216-0-0-0-0
• NetType: Direct Allocation
• NameServer: NS1.WEBCONTROLCENTER.COM
• NameServer: NS2.WEBCONTROLCENTER.COM
• Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
• RegDate: 2001-04-27
• Updated: 2003-06-11
• TechHandle: TU22-ARIN
• TechName: Uzzanti, Tim
• TechPhone: +1-602-263-0300
• TechEmail: support@crystaltech.com
• OrgTechHandle: TU22-ARIN
• OrgTechName: Uzzanti, Tim
• OrgTechPhone: +1-602-263-0300
• OrgTechEmail: support@crystaltech.com
• # ARIN WHOIS database, last updated 2004-04-28 19:15
• # Enter ? for additional hints on searching ARIN s WHOIS database.
•
• Con lo cual resolvimos el dominio falso, descubriendo además una segunda técnica conocida como WEB SPOOFING, obsérvese:
• C:\>NSLOOKUP
• Servidor predeterminado: ns1.attla.com.pe
• Address: 200.14.241.36
• > server NS1.WEBCONTROLCENTER.COM
• > server NS1.WEBCONTROLCENTER.COM
• Servidor predeterminado: NS1.WEBCONTROLCENTER.COM
• Address: 216.119.106.2
• > set type=ptr
• > 216.119.71.129
• Servidor: NS1.WEBCONTROLCENTER.COM
• Address: 216.119.106.2
• 129.71.119.216.in-addr.arpa name = viobcp.com
• 129.71.119.216.in-addr.arpa name = www.viobcp.com
Estrategias de Migración:
• No creer a cualquier mensaje electrónico en especial con contenidos dislumbrantes o disuasorios como éste.
• No ingrese contraseñas, nombres, números de cuenta, PINes, etc, en sitios web similares, recuerde que los bancos y otras entidades jamás le van a solicitar este tipo de procedimientos.
• Los mensajes están generalmente mal redactados, ejemplo: American Expres. dentro del mensaje adjunto.
Mayor Información:
• http://www.antiphishing.org
• http://www.viabcp.com
Thursday 21 de June del 2007 a las 6:58 am
ala kodam, oe vamo el sabao p.
btw, esa info la sacas desde el rir (lacnic aca, rip en eu) >>whois ip. na mas.
yo pondria una honeypot y que phisheen noma, de ahi les cae la dinincri.
Sunday 13 de January del 2008 a las 7:33 pm
hahaah!! estan ela epoca de la rueda xD!
drive-of-pharming r00lz!
Todos ^^!
Sunday 20 de January del 2008 a las 10:21 pm
Joder y me entere la semana pasada que mis examigos hacian pishing, y usaban un metodo bien simple pero que nunca se me habia ocurrido.
Wednesday 6 de February del 2008 a las 2:14 pm
ex-amigos.. mira nada menos!!
pero lo mejor esta en el BBVA ^^^! Banco de Credito no Paga tiO! solo se puede sakar 500 $ por cajerO.
^^!
BBVA. MIBANCO!
Salu2