Un nuevo ataque de phishing, cuyo principal objetivo es la entidad bancaria Banamex, ha sido detectado por nuestro Laboratorio en los últimos días.

El malware que intenta llevar a cabo esta modalidad de fraude es detectado por ESET NOD32 bajo el nombre de Win32/Qhost.AKN. Al ser ejecutado modifica el archivo hosts de los sistemas MS Windows agregando las siguientes direcciones web:

127.0.0.1 www.banamex.com
127.0.0.1 www.banamex.com
127.0.0.1 banamex.com
127.0.0.1 www.banamex.com.mx
127.0.0.1 banamex.com.mx
…
…

Esta técnica es denominada Pharming local y es muy utilizada por la mayoría de los troyanos bancarios actuales. Por otro lado, Qhost.AKN no modifica el archivo hosts en el momento de ser ejecutado, sino que lo hace luego de reiniciar la PC; para lo cual, también agrega una clave en el registro del sistema que le permite mantener su proceso activo.

Si bien los ataques de phishing ya no suponen una novedad, quizás resulta interesante en este caso particular, el hecho de que el troyano crea una carpeta llamada win en la carpeta system32 alojando en la misma las páginas falsas.

A continuación podemos observar la página falsa y la página real respectivamente.

Los ataques de phishing reportados en Latinoamérica aumentan cada vez más en la eficacia de sus técnicas, por tal motivo es muy importante que como usuarios conozcamos las diferentes vetas del phishing y adoptemos las medidas de seguridad básicas que nos permitan detectar a tiempo estas amenazas.

Del mismo modo es necesario denunciar los casos de phishing desde las opciones incorporadas en los navegadores de Internet (browser), o a través de sitios como www.antiphishing.org.

Jorge

Vota primero

• Phishing a Banamex
• Phishing en México
• Phishing sin respiro

Categorias: Phishing
Dejar un comentario »

En las últimas horas hemos estado recibiendo los acostumbrados correos que simulan provenir del servicio Paypal.

En este caso lo único destacable del correo es la URL a la que se hace mención en el mismo, ya que es una IP que se encuentra en formato hexadecimal en vez del típico formato decimal al que solemos estar acostumbrados:

Tal y como se describe en nuestro segundo curso Seguridad en las transacciones comerciales en línea de  la Plataforma Educativa de ESET Latinoamérica, este método es utilizado desde hace tiempo para confundir al usuario. Por ejemplo, la dirección 63.233.187.99 es equivalente a 0×40.0xE9.0xBB.0×63 y ante la duda podríamos vernos tentados a hacer clic.

Por eso, ante la duda, no haga clic.

Cristian

Vota primero

• Phishing en San Valentín
• Phishing a Banamex
• Phishing para todos los gustos

Categorias: Phishing
2 Comentarios »

En el día de la fecha hemos comenzado a recibir por spam postales que dicen provenir del servicio Gusanito. Estas tarjetas son falsas y en realidad apuntan a un archivo ejecutable llamado gusanito.exe que ESET NOD32 detecta con amenazas múltiples.

El correo recibido masivamente luce como el siguiente:

Por supuesto aconsejamos eliminar este tipo de mensajes directamente y nunca hacer clic en el enlace provisto.

Lo curioso de este caso es que el equipo (indicado por su dirección IP) utilizado para descargar el archivo dañino, evidentemente hace tiempo que está siendo utilizado como servidor de archivos ya que si intentamos ingresar a la IP directamente, se muestra una página vacía con titulo Bancomer, el nombre de un conocido banco.

En conclusión, este equipo ubicado en Dallas, EE.UU. ha sido utilizado previamente como hosting de phishing y ahora para alojar archivos dañinos. Esto explica lo importante que se vuelve proteger todos nuestros recursos informáticos para evitar daños mayores a otros.

Cristian

Promedio: 3

• Postales falsas de MetroPostales
• Postales falsas de Yahoo!
• Blogs de Yahoo utilizados para spam

Categorias: Alertas, Malware, Phishing
2 Comentarios »

Muchas personas piensan que el phishing es una meto de engaño que siempre involucra a una entidad bancaria y, si bien esto no escapa de la realidad, también puede presentarse en páginas que no necesariamente se refieren a entidades financieras o bancarias.

Un ejemplo concreto es el siguiente, un caso de phishing pero a través de AdWords:

Se trata de un correo electrónico no deseado (común del phishing) sobre AdWords, el servicio publicitario de Google. En este caso, la técnica de Ingeniería Social utilizada radica en que para activar la cuenta se debe acceder al enlace que figura en el cuerpo del mensaje. Al ingresar a dicha dirección aparece un formulario para completar con los datos de nuestra tarjeta de crédito, lo que claramente es un engaño:

Como ven, el phishing no solo puede o debe realizarse con entidades bancarias o financieras.

Jorge

Vota primero

• Phishing en San Valentín
• Phishing a Banamex
• Phishing para todos los gustos

Categorias: Phishing
4 Comentarios »

Cuando mostramos el caso de Phishing en Argentina, pedíamos que si Ud. recibe un correo falso, por favor lo denuncie. Esta acción se puede realizar de diferentes maneras dependiendo del navegador utilizado.

En Firefox se puede realizar desde el menú Ayuda:

En Internet Explorer 7.0 o superior se debe seleccionar la opción Tools:

En Opera se debe presionar el botón ? a la izquierda de la barra de direcciones:

Por su parte, en Hotmail, Yahoo y Gmail es posible denunciar el correo falso al recibirlo, con una opción que existe para tal fin en cualquiera de ellos.

También se pueden denunciar casos en los sitios Geotrust y PhishTank (los mismos utilizados por Opera), del cual luego se pueden obtener completas estadísticas y permiten realizar el seguimiento de cada caso en particular. Sólo es necesario obtener gratuitamente un usuario y contraseña para realizar las denuncias.

Por supuesto, también es posible denunciar el correo en nuestro Laboratorio de ESET Latinoamérica, en el cual nos encargaremos de analizarlo apropiadamente.

Importante: nunca se debe colocar o mostrar un enlace activo a un archivo o sitio dañino, porque una persona podría hacer clic sin conocer los riesgos e involuntariamente estaríamos ayudando al delincuente. Por eso motivo siempre ocultamos parte de la URL en nuestra imágenes o colocamos [eliminado] cuando escribimos una URL en un sitio web.

Cristian

Vota primero

• Phishing para todos los gustos
• Phishing en Argentina
• Phishing a Banamex

Categorias: Educación, Phishing
1 Comentario »

A pesar de lo que demuestran las estadísticas, todavía algunos afirman que no existen casos de Phishing en Argentina y Latinoamérica.

Para muestra vale un botón. Este caso que muestro a continuación ha estado activo en Argentina desde febrero en distintas variantes y en distintos dominios:

Este no es más que uno de tantos ejemplos y si se observa el código fuente puede notarse la modificación trivial realizada en la misma para cambiar el destino de los datos obtenidos (documento, clave, etc.):

A pesar de lo básico del ataque no hay dudas que el método funciona y deja dinero, de lo contrario ¿para qué existirían?

Mientras tanto y para que las estadísticas comiencen a mostrar la realidad como es: denuncie los casos de Phishing.

Cristian

Vota primero

• Phishing a Santander Río de Argentina
• Denunciar casos de phishing
• Phishing en México

Categorias: Phishing
1 Comentario »

Evidentemente los ataques de Phishing en Latinoamérica son cada vez más comunes y sofisticados. En este caso, el phishing busca engañar a los clientes de la entidad bancaria BBVA de Panamá a través de un spam que bajo el argumento de producirse problemas en la entidad bancaria, inserta un enlace para que el usuario confirme su cuenta.

Si el usuario hace clic sobre este enlace, es direccionado hacia una página falsa, muy similar a la verdadera, donde debe ingresar la información correspondiente para acceder a su HomeBanking. La siguiente imagen corresponde al phishing:

Y esta otra captura corresponde a la página verdadera:

Como se ve, ahora los phishers prestan especial atención en los errores ortográficos y en el diseño de los correos y sitios falsos.

Observando ambas imágenes y suponiendo que no conocemos cuál es la verdadera y cuál es la falsa, ¿en cuál ingresarían sus datos?.

Jorge

Vota primero

• Phishing para todos los gustos
• Phishing a Bancomer
• Phishing en Argentina

Categorias: Phishing
2 Comentarios »

Ayer mencionaba la cantidad de spam y postales de San Valentín que había recibido en mi correo.

Pero, tampoco me quedé ajeno al phishing por el mismo motivo y un ejemplo de ello es esta invitación de recargas de móvil a través de un supuesto correo de CajaMadrid (conocido banco español):

Si cometemos el error de hacer clic en ese enlace, se ingresará a un sitio web idéntico al banco mencionado en donde se nos robará el usuario y contraseña de nuestro home-banking. Como puede verse en la barra de direcciones, el sitio no pertenece al CajaMadrid:

No hagamos clic en cualquier enlace y no creamos en cualquier “regalo”.

Cristian

Vota primero

• Phishing a Banamex
• Phishing para todos los gustos
• Phishing de Hi5

Categorias: Phishing
Dejar un comentario »

En las últimas horas hemos recibido casos de correos que simulan provenir del banco Cajamadrid de España. Como de costumbre, el mismo habla de una renovación de cuenta que debe realizarse, invitando al usuario a ingresar al sitio web, que por supuesto es falso y utilizado para robar datos de la cuenta.

Nunca debe hacerse clic en este tipo de correos.
Si se comete el error de intentar ingresar al sitio web, en realidad se estará ingresando al sitio falso, como muestra la imagen en la parte inferior.

En la siguiente imagen puede apreciarse que el sitio al que se ingresa es exactamente igual al original pero si se presta atención a la barra de direcciones en la parte superior, puede apreciarse que la misma no pertenece al banco.

Nunca deben ingresarse datos privados en este tipo de sitios. Si se los ingresa, los mismos serán obtenidos por delincuentes y su cuenta bancaria estará en manos de ellos.

Cristian

Vota primero

• Phishing en San Valentín
• Phishing a Banamex
• Phishing para todos los gustos

Categorias: Phishing
Dejar un comentario »

Gracias a la incansable actividad que tienen los phisher (personas que se encargan de realizar ataques de phishing) las estafas online están a la orden del día.

Y en lo que respecta a Latinoamérica, una de las entidades más “buscadas” por estos personas es Banamex que, como se puede deducir de su nombre, es una entidad bancaria de Mexico.

En el día de ayer, uno de los correos del tipo spam que hemos capturado, estaba dirigido precisamente a tratar de engañar a los usuarios a través de una página muy similar a la original del banco en cuestión.

Este es el spam, y si observan en detalle podrán ver la dirección web a la que nos direcciona si se hace clic en el enlace:

El enlace malicioso nos direcciona a la siguiente supuesta página real de Banamex, obviamente se trata de una clonación.

En este punto, si ingresamos nuestros datos y con el fin de no levantar sospechas, nos mostrará ésta pantalla:

A partir de este momento, los usuarios que hayan caído en la trampa del phisher, se convertirán en potenciales víctimas de alguna estafa.

Este es un común ejemplo del modus operandi del phishing, contantemente “bombardeando” con páginas falsas, constantemente buscando obtener nuestros datos financieros.

Por ello tenemos que tener los ojos bien abiertos.

Jorge

Vota primero

• Phishing en San Valentín
• Phishing a Banamex
• Phishing para todos los gustos

Categorias: Phishing
Dejar un comentario »