Ataque phishing fustrado por el filtro Spam del servidor de correo Gmail
Mostramos un ataque phishing a clientes del portal de pagos on-line www.paypal.com fustrado por el filtro Spam del famoso servidor de correo Gmail. Páginas fraudulentas: http://195.128.35.60/www.paypal.com/webscr_cmd=_login-run5323/
http://163.22.175.4/icons/www.paypal.com/webscr_cmd=_login-run2740/
La importancia de un buen filtro Spam en nuestro servidor de correo puede evitar un ataque phishing, logre su objetivo. La clave del éxito de un ataque phishing depende siempre de la recepción de un correo-trampa que contiene un enlace que nos lleva a una web donde suplantando la identidad de en este caso el famoso portal de pagos on-line www.paypal.com, se intenta el robo de claves de acceso.
En este caso, Gmail ha bloqueado el codigo html que crea el enlace a la web-trampa, de ese modo no podemos"hacer click" en el enlace-trampa y con ello el ataque phishing no puede lograr su objetivo; llevarnos a una web que es copia exacta de la entidad www.paypal.com donde cualquier dato introducido en los campos de usuario y contraseña, será enviado a delicuentes informáticos, estando su dinero a pocos clicks del bolsillo de delincuentes informáticos.
24-02-07 NUEVO FIREFOX, VERSION 2.0.0.2
Ojo con la nueva versión, aún es vulnerable.
La nueva versión 2.0.0.2 de Firefox ha sido retrasada para lanzar una versión que solucionando algunos bugs nace ya con vulnerabilidades muy graves y aún no solucionadas, mientras el polaco Michal Zalewski aún.... "sin dormir" descubre una nueva vulnerabilidad en IE7 que arrastra a la flamante 2.0.0.2 versión de Firefox siendo ésta última también vulnerable.
Michal Zalewski nos informa de la última vulnerabilidad que afecta al Internet Explorer 7((al parecer, tanto en Windows XP como en Vista) que fue notificada a microsoft y que también afecta a Firefox, vulnerable también, como demuestra Zalewski en la correspondiente demostración.
Según palabras textuales de Zalewski: "Este fallo permite al atacante rastrear tus movimientos, bien redirigiéndote al sitio que quieres visitar (que no notaría nada en absoluto), o bien a un sitio falseado (phishing) de nombre similar cuando decides visitar un sitio de cierta relevancia."
Mozilla ya lo ha calificado como crítico y el CERT norteamericano acaba de emitir un aviso en este mismo sentido, recomendando a los usuarios de Firefox que desactiven Javascript.
22/02/07 PHISHING USUARIOS DE WWW.PAYPAL.COM
Ataque a usuarios de la entidad de pagos on-line www.paypal.com
Detectado un ataque phishing masivo contra clientes de la famosa entidad de pagos on-line www.paypal.com. En este caso delincuentes informáticos roban datos completos de tarjetas de crédito incluidos datos personales completos por lo que advertimos del alto riesgo de un posible Robo de Identidad Página fraudulenta: http://www.leaders.ro/images/poze/cgi-bin/webscr.php.html
Los clientes de Paypal siempre en el ojo de la delincuencia en la red, en este caso aunque está dirigido a usuarios de lengua inglesa nunca está de más incluirlo. El correo fraudulento alude a una supuesta limitación en nuestra cuenta de www.paypal.com y como es común en los casos phishing piden que introduzcamos nuestros datos de indentificación en una web a la que accedemos desde un enlace en el correo-trampa recibido.
En el video podemos observar como en el enlace del correo-trampa donde nos piden que "hagamos click" se lee la dirección correcta de Paypal, sin embargo al colocar el puntero del mouse encima del enlace si leemos la barra de estado del navegador, leemos otra dirección web totalmente diferente; la dirección-phishing donde realmente somos enviados.
Destacamos que no solo se contentan con los datos de acceso a nuestra cuenta de cliente de www.paypal.com, para eliminar la supuesta limitación de nuestra cuenta, nos piden todos nuestros datos completos de tarjetas de crédito incluyendo datos personales completos, una vez enviados somos reenviados a la web lícita de la entidad, con ello intentan asegurar el éxito de la estafa no levantando sospechas mostrando mensajes de error que alerten al usuario que ha sido estafado.
21-02-07 VULNERABILIDAD EN CLIENTE DE MENSAJERIA INSTANTANEA
Vulnerabilidad en Yahoo! Messenger 7.5 y versiones anteriores.
Descubierta una vulnerabilidad en Yahoo! Messenger que puede permitir a un atacante remoto abrir una ventana del navegador en el equipo de su víctima, mostrando una página arbitraria.
El problema ocurre porque la aplicación no filtra adecuadamente el contenido de ciertos códigos en los mensajes de texto.
Un atacante podría utilizar este asunto como parte de un escenario que incluya otros vectores de ataque.
El problema fue detectado en la versión 7.5.0.814, y versiones anteriores también son vulnerables.
No son vulnerables las versiones 8.1.0.209 y superiores.
Se recomienda al usuario actualizarse a la versión más reciente del programa desde el siguiente enlace:
Michal Zalewski nos advierte del peligro de usar firefox en banca on-line.
Firefox sufre un fallo de diseño que puede ser utilizado para confundir a usuarios casuales y producir una falsa sensación de seguridad cuando se visita un sitio un sitio fraudulento
Si accedemos con Firefox a dos páginas que usan el mismo protocolo (http, ftp etc), siendo el mismo host para las dos, firefox las considera que provienen del mismo origen facilitando con ello el "acceso cruzado" a datos entre las dos páginas.
No hemos de llegar demasiado lejos para advertir del grave peligro que ello conlleva ya que podemos engañar al navegador con un ligero cambio de URl (Uniform Resource Identifier o Identificador Universal de Recursos), por ejemplo: que un sitio web le haga creer que dos páginas diferentes parezcan pertenecer al mismo dominio. Normalmente un URI consta de dos partes:
• Identificador del método de acceso (protocolo) al recurso, por ejemplo http:, mailto:, ftp:
• Nombre del recurso, por ejemplo "//www.visa-club.com"
Si el atacante consigue llevar al usuario un sitio web malicioso, modificado a tal efecto, conseguiría por ejemplo el robo de cookies de autenticación en juegos de azar.
La vulnerabilidad puede ser utilizada en ataques de phishing, haciendo creer al usuario que está conectado a la página de su banco, cuando en realidad está enviando información a otra, para que el ataque tenga éxito, se debe tener habilitado javascript.
No existe solución de momento por parte de firefox, mientras se aconseja deshabilitar la posibilidad de que un sitio web pueda acceder a la propiedad afectada, para ello puede agregar esta linea al archivo USER.JS:
El ataque utiliza hasta 5 páginas fraudulentas que imitan al Banco Santander
Detectado un ataque phishing masivo contra clientes de la entidad financiera Banco Santander. Utilizan hasta 5 páginas que suplantando la identidad de la entidad, intentan el robo de claves a cuentas de clientes de la entidad. Páginas fraudulentas: http://gruposantander.bschib.com/ibank/empresas/
http://gruposantander.supernetbsch.com/ibank/empresas/
http://gruposantander.anetsch.com/ibank/empresas/
http://gruposantander.netbsch.com/ibank/empresas/
http://gruposantander.ibbsch.com/ibank/empresas/
Insistimos en la importancia de la difusión por parte de todos los internautas del uso ya masivo de este tipo de estafas, advirtiendo que su auge no siempre se debe al éxito de la estafa, sino a un intento de desviar la atención ante ese gran enemigo tan silencioso como peligroso, hablamos de Troyanos Bancarios, y quizás el auge del phishing consista en intentar desviar nuestra atención al problema del phishing y no tratar el problema de los Troyanos bancarios.
Mientras el phishing puede ser detectado a tiempo, un troyano bancario puede enviar desde capturas de pantalla de nuestro escritorio como varios logs con todas las pulsaciones de nuestro teclado sin dar síntomas en el pc infectado, quizás nosotros confiados en nuestro flamante y pretigioso antivirus podemos sentirnos protegidos sin embargo el troyano bancario, "creado a la carta" especialmente para burlar nuestro antivirus, enviará todas nuestras andaduras por la red incluso todo lo tecleado en la web (en ese caso lícita) de nuestro banco.
No está de más recordar que aún siguen habiendo usuarios de banca on-line que al recibir correos-trampa similares al mostrado en el video pulsan en sus enlaces y sin dar importancia tan siquiera a la dirección que muestra la barra de su navegador web introducen sus claves de acceso en páginas cuyo objetivo es el robo de claves de acceso a cuentas de clientes de la entidad.
Cuidado sobre todo con lo que descargamos en redes P2P, instale un servidor de seguridad (Firewall) que controle el tráfico de su conexión a internet, evitará en la medida de lo posible que por ejemplo un troyano envié datos desde su ordenador.
16/02/07 PHISHING USUARIOS KUTXA CAJA GUIPÚZCOA SAN SEBASTIAN
Detectado un envio masivo de correos-fraudulentos
Detectado un envío masivo de correos-trampa que suplantando la identidad de la entidad financiera "Kutxa Caja Guipúzcoa San Sebastián" redirigen a usuarios confiados a una web-phishing que intenta el robo de claves de acceso a clientes de la entidad. Web fraudulenta:
http://www.kutxa.hk/particulares
En este caso celebramos la rapidez con la que se ha efectuado el cierre de la web fraudulenta por parte de la entidad financiera, en otros casos desgraciadamente se demora bastante el cierre de la web.
El correo-trampa contiene el logotipo de la entidad financiera y en este caso, como es común en casi todos los casos phishing, el correo contiene frases y expresiones que lo delatan como una traducción literal al idioma español.
Como siempre recordamos a todos los usuarios de la banca on-line que su banco NUNCA le solicitará que ingrese en su web desde enlaces de correos electrónicos y menos aún que introduzca sus claves de acceso en sitios a los que haya llegado hasta ellos pulsando en enlaces de correos electrónicos.
• MS07-005: Vulnerabilidad en Interactive Training de Microsoft Windows(KB923723) • MS07-006: Vulnerabilidad en Windows Shell (KB928255) • MS07-007: Vulnerabilidad en servicio WIA (KB927802)) • MS07-008: Ejecución de código vía Ayuda HTML (KB928843) • MS07-009: Ejecución de código vía MDAC (KB927779) • MS07-010: Ejecución de código en OneCare (KB932135) • MS07-011: Vulnerabilidad en diálogo OLE (KB926436) • MS07-012: Vulnerabilidad en Microsoft MFC (KB924667) • MS07-013: Vulnerabilidad en MS RichEdit (KB918118) • MS07-014: Ejecución de código en MS Word (KB929434) • MS07-015: Ejecución de código en MS Office (KB932554) • MS07-016: Actualización acumulativa para IE (KB928090)
Usando postales de felicitación por San Valentin intentan robar claves de acceso a cuentas de Hotmail
Alertamos a los internautas del intento de robo de contraseñas de cuentas Hotmail.
En este caso aprovechan la proximidad del día 14 de Febrero, día de San Valentín para enviar falsas felicitaciones y obtener nuestra contraseña de Hotmail.
La postal que vemos en la imagen puede parecer inofensiva, pero puede convertir su día de San Valentín en una excusa para robar su clave de acceso a su cuenta de Hotmail.
Alguien nos puede enviar una postal similar a la de la imagen y para poder ver la postal pedir que nos identifiquemos en una web con nuestro usuario y contraseña de hotmail. Si cometemos la imprudencia de introducir nuestra contraseña, será enviada al autor del envío de la postal y nuestra cuenta de hotmail estará en sus manos.
Otro sistema utilizado es mediante el envío de un correo que nos indica que hemos recibido una postal y debemos visitar un sitio web para ver la postal, el sitio web está creado para realizar un test de nuestro ordenador donde el delincuente sabe si nos falta alguna actualización en nuestra máquina y ejecutar un archivo sin nuestro consentimiento para instalar un programa malicioso que obtenga nuestra clave y la envíe automaticamente.
Siempre aconsejamos eliminar cualquier archivo adjunto aúnque su remitente nos sea conocido, en ese caso verifique que realmente le han enviado una postal y en su caso nunca introduzca sus claves de usuario de hotmail para ver cualquier postal.
7/02/2007 PHISHING USUARIOS BANESTO
Descubierta una web fraudulenta que suplanta la identidad de la entidad financiera.
Un ataque phishing a clientes de la entidad financiera Banesto usa el logotipo de la primera campaña contra el robo de identidad y el fraude on-line. Mostramos desde el correo-trampa hasta la web fraudulenta donde intentan el robo de claves de acceso. Página fraudulenta: http://217.217.134.184/extranet.banesto.es/
La imaginación de los delincuentes no tiene límite y este caso demuestra como con toda frialdad el creador de la web-trampa usa la imagen de la conocida como "primera campaña contra el robo de identidad y el fraude on-line", usada en www.nomasfraude.es el cual está redireccionado a la dirección lícita de la web.
Lo curioso del caso lo vemos en la web-trampa, se muestra un mensaje donde nos avisan del peligro de pulsar sobre enlaces de correos electrónicos, también nos recuerdan que hemos de escribir siempre la dirección en el navegador.
Todo esto junto a la imagen del logotipo de www.nomasfraude.es puede crear un aparente ambiente de seguridad en una web que le recordamos que está diseñada y creada para el robo de sus claves de acceso y su dinero.
2/02/2007 IDENTIFICACION DE USUARIOS EN ING DIRECT
www.kriptópolis.org alerta del riesgo de phishing al identificarnos con certificados digitales PKCS12 en la web de ING Direct
En ING Direct nos ofrecen la posibilidad de identificarnos en su web sólo con los certificados digitales de clase 2 emitidos por la autoridad de certificación CERES de la FNMT. Según www.kriptopolis.org un ataque phishing lograría el certificado y contraseña de usuarios confiados.
La lección que podemos aprender del artículo empieza por dar un buen tirón de orejas a quien ha diseñado la estrategia del uso de certificados en ING Direct.
Posiblemente la idea sea buena, pero no se ha pensado en la posibilidad de un ataque phishing a clientes de la entidad financiera. Se busca firmar digitalmente las transacciones bancarias pero no se ha pensado en otro tipo de certificación que permita por ejemplo el uso de almacenes de certificados en el propio sistema operativo del usuario que no requieren que el usuario "envie" su clave privada.
Cualquier ataque phishing con éxito que consiga la clave privada y el certificado de usuario, conseguirá que los delincuentes puedan identificarse en los múltiples trámites on-line que usen certificados CERES.
4/02/2007 ATAQUE PHISHING MASIVO A CLIENTES DE BANESTO.
Intento de robo de claves de acceso a usuarios de la entidad financiera Banesto
Descubierto un ataque phishing masivo muy peligroso, dirigido contra clientes de la entidad financiera Banesto.
Suplantando la identidad de Banesto se ha detectado un envío masivo de correos-trampa cuyos enlaces pueden llevar a más de 20 páginas fraudulentas que imitando a la entidad financiera intentan el robo de claves de acceso a clientes de la entidad bancaria.
En el video mostramos todas las páginas que a fecha de hoy están on-line, el correo-trampa no contiene errores gramaticales o de sintaxis pero insiste en que nos identifiquemos en la web-trampa donde cualquier dato introducido en los campos de contraseña, serán enviados a delincuentes.
2/02/2007 PHISHING A CLIENTES DEL GRUPO SANTANDER.
Intento de robo de claves de acceso a usuarios del Grupo Santander.
Descubierto un ataque phishing muy peligroso que busca claves de acceso a clientes del Grupo Santander.
Suplantando la identidad del Banco Santander se ha detectado un envío masivo de correos-trampa intentando estafar a internautas confiados.
Páginas fraudulentas: http://www.cuentas.hk/
http://www.qruposantander.hk/particulares/
http://www.gruposahtander.hk/particulares.
De momento y a fecha del 2 de febrero las páginas fraudulentas siguen activas. Hemos de resaltar que de los dos correos-trampa mostrados en el video mientras que el primero de ellos muestra un léxico y lenguaje normal haciendo con ello que la estafa pueda conseguir un número más alto de fraudes con éxito, el segundo correo mostrado sigue el patrón en este tipo de estafas; faltas de ortografía y frases con poco sentido, lo que puede alertar a internautas poco confiados.
Recuerde que nunca debe acceder a su banco desde enlaces de correos electrónicos, escriba la dirección en su navegador directamente y nunca introduzca claves de acceso en páginas donde la dirección web no sea la de su banco o no comienze por https://
31/01/2007 PHISHING A CLIENTES DE BANESTO
Descubiertas 10 páginas fraudulentas
Descubiertas 10 páginas fraudulentas que suplantando la identidad de la entidad bancaria Banesto roban claves de acceso a aquellos clientes de la entidad que sin ser conscientes del fraude del que son objeto, introducen sus claves de acceso a sus cuentas de banca on-line en una web-trampa.
Por si alguien duda que el phishing sigue aumentando ya de forma imparable, aquí mostramos 10 páginas fraudulentas que suplantan la identidad de Banesto que en el momento de la publicación de este artículo estan on-line.
Buscan claves de acceso a banca on-line de clientes de Banesto, la explicación de el aumento de este tipo de fraudes está en el éxito de la estafa. Muy a pesar de las alertas y avisos, se siguen robando claves de acceso, datos de tarjetas de crédito e incluso datos confidenciales que originan en lo que se conoce como Robo de Identidad
Michal Zalewski nos informa de la 
El problema ocurre porque la aplicación no filtra adecuadamente el contenido de ciertos códigos en los mensajes de texto.
Si accedemos con Firefox a dos páginas que usan el mismo protocolo (http, ftp etc), siendo el mismo 
• MS07-005: Vulnerabilidad en Interactive Training de Microsoft Windows(KB923723)
