Buscar este blog

jueves, 13 de diciembre de 2012

Nuevo Phishing a Banco Macro utiliza Flash

Desde anoche a última hora hemos recibido decenas de denuncias de correos falsos que dicen provenir del Banco Macro o de VISA pero que en realidad son Phishing que tienen ciertas particularidades interesantes que analizaremos a continuación.

Como siempre el correo falsificado es un aviso sobre la suspensión de la cuenta y como se puede ver a continuación existe un error importante en en el "From" del correo: 
Si el usuario hace clic sobre el enlace dañino ingresará al sitio falso, donde se le solicitarán los datos de acceso al banco:
La particularidad de este sitio es que parte del mismo está desarrollado en Flash, específicamente donde se solicitan los datos y si se analiza el código fuente, se puede ver que se utilizan distintos archivos SWF y XML que en conjunto conforman el formulario falso y los datos que se desean robar, así como el archivo PHP que finalmente graba la información sustraída al usuario:

Al ejecutar los archivos PHP, se observa la siguiente salida, lo cual seguramente confirma que el correo con los datos robados fue enviado al delincuente:


Luego de robar esos primeros datos, a través del mismo método se solicitan los datos de validación positiva del usuario, como son las preguntas de validación que se realizan cuando el usuario se comunica por teléfono con la entidad o para validar algún dato adicional:
Finalmente se solicitan los 81 campos de la tarjeta de coordenadas, la cual es utilizada para validar al usuario al momento de una transferencia bancaria:

Obviamente, luego de la finalización de este proceso el delincuente tiene toda la información del usuario y puede realizar cualquier tipo de delitos sobre la cuenta del afectado. 

En este caso, si bien el proceso de robo de información es el mismo de cualquier otro phishing pero se ha incorporado el uso de Flash como un elemento que, en primera instancia, puede verse como complicado pero que en realidad simplemente termina siendo algo anecdótico y de cuestiones estéticas.

Nota: luego de los primeros reportes en la noche, desde Segu-Info hemos procedido a contactarnos con los sitios afectados y la página falsa ha sido eliminada. Aquí se puede ver un reporte realizado desde Antiphishing.com.ar

Cristian de la Redacción de Segu-Info
Publicado por en

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)