Phishing bancario con Ruralvía de Caja Rural

En esta entrada trataré de explicar lo que es un caso de Phising real bancario, a través de un correo falso – a modo didáctico – para que tod@s podáis entender de que va este rollo.

Ea, vamos allá:

Dispuestos pues a mirar nuestro cliente de correo (es decir, lo que va siendo mirar para ver que correos nuevos me han llegado, sean spam, etc) nos dirigimos para abrir el correo, y mira tu por dónde tenemos un bonito e impoluto correo de una entidad bancaria (española). Bien, pues veamos que dice:

Correo metodología Phising. Apariencia entidad bancaria Ruralvía.
Correo metodología Phising. Apariencia de entidad bancaria Ruralvía.

Al leerlo y observar un poco ya vamos desconfiando de antemano, sobre todo por el link (enlace) que muestra abajo a la izquierda, y que si pinchas en él.. (bueno, mejor no lo hagais) }:) ..

¿Desconfiar? – si, así es .. una entidad bancaria jamás te va a enviar un correo directo exigiendo tus datos, y mucho menos para verificar nada en absoluto a través de un link (esto que quede bien clarito).

 – LOS BANCOS NO PIDEN VERIFICACIÓN DE NADA A TRAVÉS DE CORREOS, Y MUCHO MENOS PARA QUE HAGAS CLICK EN UN ENLACE –

phishing-como-funciona

Hay que reconocer varios aspectos que destacan en el correo:

– Un perfecto español. Cada vez son más profesionales en esto.

– El buen formato de la dirección de correo electrónico.

Si visualizamos el correo desde un smartphone, observamos que no podemos llegar a ver el nombre del dominio. Si pulsamos para ver la página por completo, ese nombre de dominio (que no tiene nada que ver con la entidad bancaria a la que se refiere) tiene todas las papeletas para ser un correo con “premio”.

Picados por la curiosidad, una de las primeras cositas que debemos hacer es analizar la url (dirección HTTP) del link premiado (es decir, copiar la url del enlace que se adjunta en el correo trampa). Para no complicarnos mucho, botoncito derecho y copiar la url.

Detalle de copiado dirección web.
Detalle de copiado dirección web.

Abrimos el navegador (o en su defecto, si lo tenemos abierto, pestaña nueva) y nos vamos a la dirección de análisis on-line de virustotal – con una gran cantidad de motores de análisis on-line -.

Copiamos la dirección del correo-trampa en el cuadro de búsqueda de virustotal, sección url (veamos una captura de ejemplo):

Ejemplo: Detalle copiado de dirección y sección virustotal.
Ejemplo: Detalle copiado de dirección y sección virustotal.

Le damos a analizar para comprobar si la dirección adjuntada en el correo está o no infectada, y virustotal nos mostrará el resultado. En esta ocasión (y con esta url en concreto) virustotal nos arrojaba un resultado negativo de infección-peligrosidad (lo que va siendo que no contenía código malicioso). Pero una curiosidad resaltaba a la vista:

– Si os fijais, dicha url ya habia sido analizada por alguién hacía unos pocos minutos).

Captura: Resultado del análisis y tiempo estimado.
Captura: Resultado del análisis y tiempo estimado.

Vale, ok, la url parece estar limpita, pues bien .. vamos a ver que hay en dicha dirección (por supuesto, no pincharemos directamente sobre el enlace premiado del correo. Copiamos la dirección y la pegamos en la pestaña del navegador, e incluso se puede escribir a mano).

Cargamos la página-trampa “e-voila”..

Captura: Página premiada con el premio de lotería phising.
Captura: Página premiada con el premio de lotería phising.

Una vez cargada la página con el premio, observamos que se parece bastante (por no decir casi idéntica) a la original. Pero si nos fijamos un poquitín, observaremos que su dirección no cuadra demasiado con la de una entidad bancaria. Razón:

– Observad la barra de direcciones, pone WWW (y ya está, a secas, y ahí lo llevas.. con un par!). Los indicios de seguridad de una entidad bancaria brillan por su ausencia (claro, como debe ser..). Y además, nos muestra un bonito y elegante formulario para que escribamos todos y cada uno de nuestros datos personales acerca de dicha entidad (nombre de usuario, dni, contraseña, etc), y.. de paso, ya puestos.. le compramos unas birras.

Captura: Detalle de lo que no has de hacer, si no quieres terminar jodid@.
Captura: Detalle de lo que no has de hacer, si no quieres terminar jodid@.

Para más detalles y que sepáis mas cositas, mirad esta captura de pantalla de la web original (y oficial) de la entidad bancaria:

Captura: Página original de la entidad bancaria.
Captura: Página original de la entidad bancaria.

Observamos un candadito en la parte superior-izquierda de la barra de direcciones, hacemos click en él (botón izquierdo) y leemos.

Se trata de la verificación de auditoría y seguridad de dicha página.

Veamos un poco más de cerca (y con más detalle):

Captura: Verificación auditoria y seguridad.
Captura: Verificación auditoria y seguridad.

Es decir, en pocas palabras y muy clarito: Si no hay “candadito”, la web carece de seguridad SSL. Ergo ninguna entidad bancaria va a permitir tal cosa, demasiado insensato a la par que irreal.

Otro detalle de la web con premio, es un botón que se llama “ver demo”, y que nos quedamos con las ganas que saber a dónde lleva. En la página oficial dicho botón no aparece, mirad:

Captura: Web trampa con botón
Captura: Web trampa con botón “ver demo”.. que te dirige hacia (vete tu a saber).

Ahora veamos como dicho botón no aparece en la web real bancaria:

Captura: Web bancaria oficial. Donde andará el botón
Captura: Web bancaria oficial. Donde andará el botón “ver demo”, lo echamos de menos!..

PHISING! en su estado más puro queridos amig@s..

– Web oficial: Candado HTTPS, con su certificación, tipo de cifrado para la conexión, etc y etc. Como tiene que ser.

– Web con premio (loterías Phising): Sin nada de lo citado anteriormente, aunque con un parecido aceptablemente razonable.

Si amig@s, continuamos un poco más con la investigación tipo CSI y nos vamos a la página de anubis para ver si pillamos mas cacho acerca del asunto, y de paso también a urlquery.. para ver si damos con la procedencia de la url premiada en cuestión.

Obtenemos un resultado nada desdeñable e interesante:

– La página premiada en el sorteo Phising se aloja en un servidor web legítimo de una clínica de salud dental americana (un dentista vaya!), que casi con total certeza (y desconocimiento de ello) a sido victima de un ataque de phising a su web.

Hay muchos mas detalles en cuanto a datos técnicos, pero eso lo dejaremos para otra ocasión.

Nota: Se puede proceder a reportar dicho caso al propietario de la página dental, para borra cualquier rastro de código en su web y de esa forma no ser “complice” de cuaquier estafa o delitos varios.

Resumiendo:

– Todos pensamos que “a mí no me pasan estas cosas!”, pues si.. si que pasan, y continuamente, así que mucho ojito cuando recibais en vuestra bandeja de correo estos bonitos “premios-trampa”. Y, sobre todo, donde haceis “click”.. }:)

TonyHAT - 046

Anuncios

2 comentarios en “Phishing bancario con Ruralvía de Caja Rural”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s