#Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)

En el día de hoy, en Segu-Info hemos recibido varias denuncias de Phishing del Banco BBVA Francés, Pago Mis Cuentas y Movistar, y hemos podido constatar que ha afectado a 110 personas en poco más de 4 horas.

A continuación analizamos el caso completo, porqué ha logrado tanta repercusión y ha tenido tanto éxito en tan poco tiempo. Ante todo se analiza el correo que recibe cada una de las potenciales víctimas y las empresas afectadas, señaladas con una flecha en cada caso:

Correo recibido por las víctimas

Aquí se observa que las entidades afectadas son: Banco BBVA Francés, Pago Mis Cuentas y Movistar. El delincuente aprovecha la imagen de las tres empresas para lograr una mayor credibilidad en el engaño sobre un supuesto vencimiento de crédito de la línea telefónica.

En el código fuente del correo electrónico se puede ver que son afectadas a otras entidades argentinas, chilenas y canadienses y otros sitios web que han sido vulnerados para alojar las imágenes del email fraudulento:

Código fuente del correo electrónico

El detalle de los sitios web e instituciones afectados son (*):

• Se alojó una imagen en una Universidad Argentina:
  http://institucional.[ELIMINADO].edu.ar/2011/files/novedades/pago-mis-cuentas.png
• Se alojó una imagen en un sitio chileno:
  http://[ELIMINADO]njavier.cl/Postulaciones_Trabajo/afip.jpg
• En ese sitio se utilizó una imagen de AFIP y PagoMisCuentas (Argentina):
  http://[ELIMINADO]njavier.cl/Postulaciones_Trabajo/afip.jpg
• Se vulneró la web de un cine para alojar el sitio falso:
  http://www.[ELIMINADO]studio.com/[ELIMINADO]4.php
• Se vulneró otra web canadiense para alojar el sitio falso:
  http://digital[ELIMINADO].ca/
• Se vulneró un sitio de comunicaciones para permitir el envio de spam:
  http://[ELIMINADO]ommunications.com/o[ELIMINADO]n.php

Imagen de AFIP y PagoMisCuentas en servidores vulnerados

(*) Nota: luego de nuestras denuncias varios de los sitios afectados han eliminado las páginas falsas.

Ahora, si se analiza la cabecera del correo electrónico se pueden ver las herramientas utilizadas para enviar los correos de spam y lograr un mayor alcance de usuarios afectados:

Cabecera del correo

Aquí puede verse la URL http://[ELIMINADO]ommunications.com/o[ELIMINADO]n.php, que es una pequeña página que permite enviar spam a miles de usuarios a la vez, utilizando la base de datos robada comprada previamente por el delincuente:

Envío de spam desde una página web

Una vez finalizado el análisis del correo electrónicoy sus características, se analiza el sitio web falso del Banco BBVA Francés y los datos robados por el delincuente.

Inicialmente el usuario hace clic en el enlace incluído en el correo anterior: http://www.[ELIMINADO]studio.com/c[ELIMINADO]4.php y desde aquí es redirigido a otro sitio: http://digital[ELIMINADO].ca/
Ambos sitios han sido vulnerados por el delincuente y esto le ha permitido alojar el contenido completo de las páginas web del banco para interactuar con las víctimas.

En la primera página se solicita el número de documento del usuario, al igual que lo hace el sitio original: 

Primera página falsa de Banco BBVA Francés

A continuación se solicita el número de DNI y la contraseña de acceso, al igual que lo hace el sitio original:

Segunda página falsa, solicitando DNI y clave

A partir de aquí se comienzan a solicitar otros datos de comprobación, que el banco tradicionalmente no solicitaría, de modo que el delincuente se hace con información que le permite realizar operaciones bancarias en nombre de la víctima:

Solicitud de la clave de transferencia

Además, se solicitan los 81 campos de la tarjeta de coordenadas de la víctima. ¡Por favor!

Solicitud de la tarjeta de coordenadas

Como puede verse, en el fondo de la tarjeta de coordenadas, se simula el ingreso al banco verdadero a través de la captura de una imagen antigua del Home-Banking real (¡31 de marzo 2013!). En la parte inferior de la imagen también se simula la URL real del banco (https://hb.bbv.com.ar/...).

Finalmente, cuando el usuario termina de ingresar sus datos y el delincuente ya se hizo con los mismos, aparece una supuesta página de error que luego envía al usuario a... !Google!:

Página final del engaño

Si se analiza el servidor vulnerado, se puede encontrar el contenido de las páginas descriptas y los datos robados por el delincuente en un archivo TXT. En este archivo se almacenan los datos personales ingresados por las víctimas, las direcciones IP de estas personas e... insultos varios y ataques de SQL Injection que dejan las personas que se percatan del engaño:

Al analizar este archivo, eliminar la información falsa y contabilizar las personas afectadas, al momento de escribir el presente informe se encuentran 110 DNI únicos. Esto demuestra que en sólo 4 horas de actividad el delincuente se ha hecho con muchos datos reales que posteriormente venderá en el mercado negro y/o utilizará para extraer dinero de las cuentas afectadas.

Desde Segu-Info una vez más insistimos en la falta de medidas de protección por parte de los entidades bancarias y financieras, la falta de previsión y de leyes relacionadas a fraudes informáticos y, sobre todo, la falta de educación de los usuarios que permite que 110 personas sean engañadas y que los delincuentes sigan engordando sus bolsillos.

Actualización: al realizar un análisis de las contraseñas utilizadas por los usuarios, realmente se siente una gran depresión. Algunos ejemplos de contraseñas son:

• El nombre y/o apellido del usuario
• Números de 4 dígitos (por ejemplo el año de nacimiento o el PIN de acceso)
• El cumpleaños de la persona
• El número de documento, que además se corresponde con el nombre usuario

Lamentablemente es muy bajo el porcentaje de gente que utiliza una contraseña apropiada.

Cristian de la Redacción de Segu-Info