Posts Tagged ‘phishing’

Interbank, Falso correo de Verificación Urgente de Datos

abril 25, 2010

Hace unos días descubrí en mi bandeja de correo un mensaje con los siguientes datos,

Asunto: Verificación Urgente de Datos por Motivos de Seguridad.‏
Desde: Banco Interbank (noreply@sonico.com)

Para empezar no tengo cuentas en dicho banco, en segundo lugar Interbank no tiene como dominio de correo electrónico @sonico.com y ahí la señal de que se trataba de un fraude.

El contenido de dicho correo es como sigue:

ESTIMADO CLIENTE :

La importancia por la seguridad e integridad de nuestros servicios hemos decidido enviarle el siguiente mensaje de alerta en el cual le comunicamos que debido a los reiterados robos informaticos, el banco a puesto a disposicion a todos sus clientes la nueva banca celular.

!Ingresa a su banca para acceder al sistema de banca celular! desde aki :

http://www.grrr.ws/escola/inscrits/css/NetActiva/www.interbank.com.pe/

 Creo que lo errores saltan a la vista, un banco formal no escribe ‘desde aki :’

Es así que decido investigar pero no tuve la suerte de ver el comportamiento o lo que dicho enlace hacía, al parecer ya lo han reportado y esta fuera de línea.


He aquí la cabecera del correo.

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtTQ0w9MA==
X-Message-Status: n:0
X-SID-PRA: Banco Interbank noreply@sonico.com
X-AUTH-Result: NONE
X-Message-Info: R00BdL5giqqKCD/Wy0S2cY0xYtL/iwmX0lfiw24IiEeFn2
tAeTOaTUhcognDtSbAKP/RFfqyLVDrxxyomHSPN1ANmrNScx2A
Received: from moutng.kundenserver.de ([212.227.17.9]) by
BAY0-MC1-F35.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
         Mon, 12 Apr 2010 09:35:23 -0700
Received: from infong-es27.kundenserver.de
(infong-es27.1and1.es [212.227.114.95])
        by mrelayeu.kundenserver.de (node=mreu1) with ESMTP (Nemesis)
        id 0LnFph-1NZjtO0SwX-00hbRr; Mon, 12 Apr 2010 18:35:23 +0200
Received: from 186.160.53.202 (IP may be forged by CGI script)
    by infong-es27.kundenserver.de with HTTP
    id 4AgApW-1O1Mba3dD6-00078c; Mon, 12 Apr 2010 18:35:22 +0200
X-Sender-Info: 264167517@infong-es27.kundenserver.de
Date: Mon, 12 Apr 2010 18:35:22 +0200
Precedence: bulk
X-Apache-Env: www-ip="MTg2LjE2MC41My4yMDI=";helo="aW5mb25nLWVzMj
 cua3VuZGVuc2VydmVyLmRl";script="L2pzL3h6LnBocA=="
To: xxxxxx@hotmail.com
Subject: Verificación Urgente de Datos por Motivos de Seguridad.
From: Banco Interbank noreply@sonico.com
Message-Id: 1307462764.129@sonico.com
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Provags-ID: V01U2FsdGVkX195DS7ibZzuMFH1v60nWbxywCtm7kaZyq7WoT2
 f64v457yiktsr/4kVE9Sb77sPM/gCQGRs1DhoFamksspmPZN6g
 0HGXj6/RbU=
Return-Path: noreply@sonico.com
X-OriginalArrivalTime: 12 Apr 2010 16:35:24.0171 (UTC)
FILETIME=[268805B0:01CADA5E] 

Un Segundo correo esta vez con los siguientes datos,

 De: Interbank.com.pe (Servicioalcliente@interbank.com.pe)
Asunto: Verificación Urgente de Datos por Motivos de Seguridad.‏

Contenido:

CUENTA SUSPENDIDA

Estimado Cliente:

Le hacemos llegar una notificación debido a que su cuenta Interbank ha sido Suspendia por que su correo electronico no esta registrado debidamente en nuestra banca por Internet.

El registro Activará automaticamente su cuenta!.

El enlace fraudulento es:
http://aditivos.com.sv/includes/fileman/includes/www.interbank.com.pe/index.shtml

He aquí la cabecera, 

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MTtTQ0w9Mg==
X-Message-Status: n:0
X-SID-PRA: Interbank.com.pe <Servicioalcliente@interbank.com.pe>
X-AUTH-Result: NONE
X-Message-Info: JGTYoYF78jEJRemogB0DrG8U7Uonnp59cA3w0GZq6yITpF7E
o3vl4gctGis75uynABblIcNI5LYgl7vHWUxrICWaBxQEFSub
Received: from quad.bahiaservers.com ([64.22.110.26]) by
SNT0-MC3-F37.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
         Thu, 1 Apr 2010 19:59:32 -0700
Received: from nobody by quad.bahiaservers.com with local (Exim 4.69)
        (envelope-from <nobody@quad.bahiaservers.com>)
        id 1NxX6X-0007aG-0H
        for xxxxxx@hotmail.com; Thu, 01 Apr 2010 23:59:29 -0300
To: xxxxxx@hotmail.com
Subject: Verificación Urgente de Datos por Motivos de Seguridad.
From: Interbank.com.pe <Servicioalcliente@interbank.com.pe>
Message-Id: <130746321.129@interbank.com.pe>
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Date: Thu, 01 Apr 2010 23:59:29 -0300
X-AntiAbuse: This header was added to track abuse,
please include it with any abuse report
X-AntiAbuse: Primary Hostname - quad.bahiaservers.com
X-AntiAbuse: Original Domain - hotmail.com
X-AntiAbuse: Originator/Caller UID/GID - [99 32003] / [47 12]
X-AntiAbuse: Sender Address Domain - quad.bahiaservers.com
X-Source:
X-Source-Args: /usr/local/apache/bin/httpd -DSSL
X-Source-Dir: cadenaintegracion.com.ar:/public_html/images
Return-Path: nobody@quad.bahiaservers.com
X-OriginalArrivalTime: 02 Apr 2010 02:59:32.0788 (UTC)
FILETIME=[851A3F40:01CAD210]
 

Cuidado!! Falso virus, Cta gestion: Alerta Virus

abril 5, 2010

Esta es tal vez la forma mas burda de phishing pero si es usada es por que las victimas pican el anzuelo.

Envían un correo electrónico con las siguientes características:

Asunto: Cta gestion: Alerta Virus
Origen: correo electronic (correo.electronico@web.com)
Contenido:
 
DGTFX Un virus ha sido detectado en sus carpetas. La cuenta de correo tiene que ser actualizado a nuestro nuevo Asegurado contra DGTFX virus de la versión 2010 para evitar que daños y perjuicios a nuestro registro de correo web y archivos de yourimportant.
 
Haga clic en la pestaña respuesta, Rellenar las columnas de abajo y envíalode espalda o de su cuenta de correo electrónico se pondrá fin de evitarpropagación del virus.
 
NOMBRE DE USUARIO:
CONTRASEÑA:
NÚMERO DE TELÉFONO:
FECHA DE NACIMIENTO:
 
Director Técnico de la Web Team.Note que su contraseñase cifrará with1024-bit RSA claves para su contraseña de seguridad.

Tengan cuidado, los correos y formulario de empresas formales no solicitan contraseñas, así que al ver este correo en sus bandejas de entrada o bandeja de correo no deseado, simplemente ELIMINENLO.

Spam solicita confirmación de contraseña de facebook

noviembre 5, 2009

Mensaje fraudulento intenta confundir al usuario suplantando la dirección de soporte de Facebook, support@facebook.com.

Diario Ti: Websense Security Labs ThreatSeeker Network descubrió una nueva ola de ataques maliciosos de correo electrónico que afirman ser una confirmación para restaurar contraseñas de Facebook.

Facebook
Los mensajes contienen un archivo adjunto .zip con un archivo .exe en su interior. El archivo .exe tiene actualmente una tasa de detección de casi 30 por ciento en VirusTotal.

El archivo .exe malicioso conecta dos servidores para descargar archivos maliciosos adicionales y se une al botnet Bredolab, lo que significa que los atacantes tienen el control completo de la PC, con lo que pueden robar información de los clientes y enviar correos electrónicos no deseados. Uno de los servidores se encuentra en Holanda y el otro en Kazajstán.

Fuente: Websense.
Extraido de: diarioti.com

Ataque Phishing a los clientes del BBVA al descubierto

julio 14, 2008

Se ha identificado un correo electronico con una ataque de phishing que que tenía como objetivo a los clientes del Banco BBVA, el correo en mención tiene como emisor a “BBVA (conoceme@sexyono.com)”; al ingresar al supuesto enlace del banco, que este direccionaba a un enlace externo de dominio mexicano.

(http://www.carpama.com.mx/configlop.php).

Pueden ver el screshot

http://img253.imageshack.us/img253/9185/phishingbbvaiv5.jpg

Al parecer los ‘phishers’ lograron acceder al servidor web e incluyeron un archivo php (configlop.php) que re-direcciona a la victima a otro servidor ubicado en Brasil

(http://www.bellajanela.com.br/restrito/tabelas/configuration/config/log/)

donde los ‘phishers’ lograron entrar y dejar el código para la recoleccion de datos.

Los servidores web comprometidos pertenecen a empresas que han sido atacadas por los phishers.