Luego, al ingresar al sitio fraudulento del atacante, nos muestra la siguiente imagen:

(clic para agrandar)

Luego, al momento de ingresar “los datos”, nos envía a una nueva página para confirmar el acceso.

(clic para agrandar)

Los datos son robados a través de un script PHP alojado en un servidor que ha sido previamente afectado.

Al momento de escribir el presente post, el sitio web falso sigue activo, por ese motivo se alerta y se advierte a los amigos lectores de este blog, para que estén muy atentos.

El sitio fraudulento es detectado por el SafeBrowsing de Google en Chrome, Internet Explorer y Firefox, informando de la falsificación.

Actualización: El sitio ha sido dado de baja.

*Recomendaciones:
El phishing no es un virus, sino un método que utiliza un mensaje de correo digital en la que se propone engañosamente la introducción de claves en una página web que simula la de una entidad bancaria.

Los mensajes enviados utilizarán todo tipo de ingeniosos argumentos relacionados con la seguridad de la entidad, para justificar la necesidad de introducir sus datos de acceso. Algunos ejemplos de los más comunes pueden ser los siguientes:

• Problemas de carácter técnico.
• Recientes detecciones de fraude.
• Nuevas recomendaciones de seguridad.
• Cambios en la política de seguridad de la entidad.

Ante esta campaña, se recomienda cinco normas de fácil aplicación para evitar caer en estas trampas:

1. No atienda a correos electrónico escritos en idiomas que no hable: su entidad financiera no se dirigirá a Ud en ese idioma si antes no lo han pactado previamente.
2. No atienda a correos enviados por entidades de las que no es cliente en los que le pidan datos íntimos o que afecten a su seguridad.
3. No atienda a sorteos u ofertas económicas de forma inmediata e impulsiva
4. No atienda a correos que le avisen del cese de actividades financieras recibidos por primera vez y de forma sorpresiva.
5. No atienda a correos de los que sospeche sin confirmarlos telefónica o personalmente con la entidad firmante.

*Consejos de Seguridad en Pymes | Gracias a @eduardopalacios por el mensaje

“los ciberdelincuentes se dieron cuenta de que se trata de una ‘actividad rentable’ y que los usuarios, a pesar de las múltiples recomendaciones que hacen los analistas de seguridad y las entidades bancarias, siguen cayendo en las redes o en la trampa de los mensajes de phishing bancarios”.

Enlace a la entrevista en la web: Zombis digitales en Ecuador

Durante los últimos 2 años se han venido sofisticando y casi que profesionalizando las metodologías de ataque, y más grave aún, se han venido parametrizando dichos ataques para aprovechar esta falsa sensación de seguridad. Se configura un ataque para que cumpla los horarios típicos más vulnerables, por ejemplo, configurar una red de zombis (máquinas que ya han sido comprometidas y se mantienen bajo el poder de un atacante como un “ejército silencioso”) para que ataquen de forma discreta y pausada, en intervalos lentos de conexión y de diferentes direcciones IP, justo en horario de almuerzo. Se eligen estos horarios porque estadísticamente durante el día se sospecha mucho menos de actividades de la red y porque culturalmente son horas mucho más susceptibles a abrir correo o navegar en páginas no corporativas. Se han encontrado también virus y troyanos con fechas de propagación relativas a las fiestas patrias en Ecuador.

El más popular es quizás el detalle con el que se ha conseguido suplantar entidades financieras del país por medio de Phishing. De hecho no ha sido difícil encontrar tecnologías de phishing en la región que incluyen tecnologías AJAX, ataques DNS, javascript avanzado y hasta intentos de suplantación en los certificados digitales. Todo esto teniendo muy en cuenta que para materializarlo en un ataque, antes ha habido un estudio del objetivo atacado.

Se espera que este comportamiento siga su incremento exponencial en los próximos años. Ya se ha propagado la noticia de que nuestros niveles de conciencia e inversión en temas de seguridad de la información no son los suficientemente aceptables para el reto que se avecina.

No todo es negativo. Afortunadamente se ha venido lentamente despertando el interés particular en la institucionalización de normativas para tratamiento y protección adecuados y seguros de la información, lo que ha creado algo de expectativa entre algunas organizaciones. Aunque el tema debe madurarse mucho aún, se tienen claros los principios de la seguridad. Desafortunadamente nuestra cultura se orienta mucho a la remediación en vez de la prevención; y son pocos los ejemplos de organizaciones que por iniciativa y conciencia, invierten esfuerzos adecuados y suficientes en la protección de uno de sus activos más valiosos: La información.

*Por: Adrián E. Rodríguez — Director de consultoría Digiware Perú — CISSP, CISM, GCFA, ISO Lead Auditor.

Para Daniel Bonina, especialista en fraudes de banca electrónica, esta modalidad creció un 10 por ciento en el último año. “Este tipo de fraude -explica Bonina- se originó en Nigeria, llegando a ser una de las principales fuentes de ingreso de ese país. Se lo conoce como estafa nigeriana o lottery scam. Hay argentinos que viajaron a Europa para reunirse con estafadores vestidos de abogados. Le entregaron dinero personalmente y volvieron con las manos vacías”. Este modelo se reproduce en la Web.

De Rusia con amor
Una de las técnicas de más circulación, según apunta Cristian Borghello, de la empresa de seguridad informática ESET, involucra a una supuesta mujer rusa que quiere huir de su país en busca del hombre de sus sueños. “Comienza con un e-mail con datos y fotos de una joven. El contenido alude al inicio de relaciones sentimentales”, apunta Borghello. Si el interesado muerde el anzuelo, es direccionado a un formulario de registro y desemboca en un portal, tipo red social, que le permitirá contactar a esta señorita. Al registrarse se reciben mensajes de más admiradoras, pero para poder leerlos deberá comprar créditos. De más está decir que el interés de las mujeres es inexistente.

La gran oferta
Una red de timadores se dedica a recorrer sitios de subasta online (MercadoLibre, DeRemate y MasOportunidades) para detectar mercaderías de gran valor. Realizan una oferta por casi el doble de su precio para hacerse acreedores. Luego se ponen en contacto con el vendedor para pedirle su número de cuenta bancaria y que envíe 15 de esos artículos a un país de Europa del este. A los pocos días llega la confirmación de la supuesta transferencia bancaria, efectuada desde una entidad oficial, junto con un link. Al hacer clic, el vendedor es conducido a una web falsa, donde se les explica que, por motivos de seguridad, el pago, aunque fue realizado, no será acreditado hasta que no se realice el envío. Muchos ingenuos vendedores envían la mercadería creyendo que el sitio del email es verdadero.

La clásica nigeriana
Se recibe un e-mail de una autoridad gubernamental africana, con membrete oficial, proponiendo un negocio tentador. Al parecer, este funcionario corrupto quiere despachar grandes sumas de dinero y necesita un cómplice en el exterior, a quien promete darle una suntuosa tajada del botín. En caso de aceptar, al iluso se le pedirá un número de cuenta bancaria y le llegarán mensajes con datos administrativos, adelantando detalles de la operación. Pero de pronto todo se complica y el burócrata empezará a pedir plata para realizar sobornos, pagar impuestos y cubrir honorarios en el país africano. Y los millones nunca llegan.

Phishing
Llega un mail con el logo de un banco -si el que recibe el correo tiene cuenta allí todo es más verosímil- en donde piden ingresar al sitio para actualizar las claves. Al hacer clic el sistema conduce a una página que simula ser real pero es trucha. Si se coloca el password puede ser robado por los hackers.

La viuda negra
Mail de Caroline Hamson, una pobre señora que se hace pasar por la viuda de un diplomático que quedó varada en Costa de Marfil. Con una prosa dramática, señala que está escribiendo desde un hospital y que le diagnosticaron una enfermedad terminal. Aunque aclara que el dinero no le interesa, pide una donación para poder enviar a sus hijas a la casa de sus abuelos. Para los interesados, ofrece certificados legales sobre lo que está contando. Seguro que alguna alma caritativa se apiada de sus pesares.

Fuente: El Clarín

Por supuesto la dirección visualizada es la correcta pero si el usuario hace clic es redirigido a un sitio falso creado por el delincuente para robar usuarios y contraseña del homebanking:

http://www.[eliminado].org.sg/gallery/content/pichincha.htm

El sitio fraudulento ya ha sido dado de baja.

Pero vale la recomendación si es que llegan a tu buzón correos con encabezados como los de la imagen, en algunos casos prácticamente son ignorados por la aplicación de seguridad que protegen tus correos, una suplantación de identidad “perfecta”.

Conclusión: Ningún banco está exento de este tipo de amenazas informáticas.

El enlace al sitio falso re-direcciona a un sitio de Corea, mientras que el dominio que inicialmente muestra el correo fraudulento (igual es Coreano) y en este momento, se encuentra temporalmente caído.

En el mensaje nos invitan a ingresar a dos sitios (personas y empresas) que por supuesto no son los de Produbanco.

La página a la que se intenta ingresar es http://www.xxxxxxx.com.tw/includes/actualizacion/produbanco/persona/produbancopersona.htm (personas) y http://www.xxxxxxxxx.com.tw/includes/actualizacion/produbanco/empresa/produbancoempresa.htm (empresas), y actualmente disponible en todos los navegadores (incluido el “hiperseguro” IE8.

Como dato adicional la página falsa fue creada recientemente (hoy 07 de abril) en un sitio vulnerado.

Por lo tanto, se recomienda estar atento con este tipo de mensajes y recordar que NINGUNA entidad bancaria solicitaría información importante por correo electrónico.