Phishing en Scotia Bank

Esta mañana recien abro mi correo y ahi esta un correo que dice venir de:

De: Scotiabank
Responder a: Scotiabank
Fecha: 13-dic-2006 3:32
Asunto: Noticia Importante

En donde como siempre les ofrecen acceso al sistema de banca para empresas y banca en línea, las ligas a las que envía las peticiones son:

http://ph-maskinfabrik.dk/l/db.php


que no es otra cosa que un programa en PHP que construye la página con elementos de la misma página de Inverlat, con lo que las modificaciones que Inverlat realiza a su sitio se ven reflejados en este sitio falso. Aqui la sección en donde se logean los usuarios es la que esta construida incluso en un dominio valido, lo que me hace pensar que las dueñas del dominio (www.ngrsport.com) estan involucradas o algún administrador o incluso el sitio fue vulnerado y de ahi se publican los scripts bien elaborados por cierto. Una vez que se envía la clave de usuario y constreña, se redirige a la persona a una forma que da la apariencia de ser de Scotiabank pero que en realidad es del sitio vulnerado en ngrsport.com, donde se pide la clave transaccional y de esta forma se completa el proceso de robar la identidad de banca electrónica de los usuarios.

Espero esta información sea de utilidad para las personas responsables de los servicios de banca electrónica.

Saludos.


Esta es la cabecera del correo por si llega a ser de utilidad para alguien.

Received: by 10.65.44.8 with SMTP id w8cs553074qbj; Wed, 13 Dec 2006 01:35:04 -0800 (PST)Received: by 10.70.75.14 with SMTP id x14mr1137392wxa.1166002504045; Wed, 13 Dec 2006 01:35:04 -0800 (PST)Return-Path: Received: from mail4.myhsphere.biz (mail4.myhsphere.biz [204.14.104.85]) by mx.google.com with SMTP id 34si769081wra.2006.12.13.01.35.03; Wed, 13 Dec 2006 01:35:04 -0800 (PST)Received-SPF: neutral (google.com: 204.14.104.85 is neither permitted nor denied by best guess record for domain of servicio@scotiabank.c0m)Received: (qmail 32716 invoked by uid 399); 13 Dec 2006 09:33:20 -0000Received: from client-200.107.155.7.speedy.net.pe (HELO schneid3r) (support@domainhk.net@200.107.155.7) by mail4.myhsphere.biz with SMTP; 13 Dec 2006 09:33:20 -0000Message-ID: <001701c71efc$de97fbbf$bf6b8656@jvpbs>Reply-To: "=?windows-1251?B?U2NvdGlhYmFuaw==?=" From: "=?windows-1251?B?U2NvdGlhYmFuaw==?=" Subject: =?windows-1251?B?Tm90aWNpYSBJbXBvcnRhbnRl?=Date: Wed, 13 Dec 2006 04:32:36 -0500MIME-Version: 1.0Content-Type: text/html; charset="windows-1251"Content-Transfer-Encoding: 7bitX-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express 6.00.2600.0000X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Phisnig en Banamex Nuevamente

Un sitio mas, espero que no caiga mucha gente, les puede llegar un correo que pide acceder al sitio para activar sus opciones de seguridad de Bancanet.

Este es el sitio invalido:

http://uklocksmithsassociation.co.uk/_vti_log/banamex/bancanet/index.htm

No se cuanto tiempo se tarden en desactivarlo, pero se ve que a diferencia de otros hicieron muuy poco trabajo de diseño, practicamente copiaron y pegaron y habilitarón su script de envío de información.

Saludos.

Nuevos sitios con Phishing

Despues de una larga ausencia debido a mi integración a una Universidad Importante de Pachuca que no es la Autónoma del Estado, regreso para seguir escribiendo sobre el tema del Blog.

En esta ocasión les informo que se han abierto nuevos sitios de phishing, uno de ellos es de PayPal, quiza no afecte a muchos en nuestro país por que en realidad son pocas las personas que utilizan este sistema de pago, a continuación les anexo el contenido del correo.

Please Update Your Account Dear valued PayPal member:
It has come to out attention that your PayPal account information needs to be updated as . part of .our continuing. commitment to protect .your accountand to reduce the instance of .fraud on our website. If you .could please take5-10 minutes out of your online experience and update your personal recordsyou will not run into any future problems with the online services.

However, failure to update your records will result in account suspension. Please update your records on or before September, 2006.

Once you have updated. your account records, your PayPal session will notbe interrupted and will continue as normal.

To update your PayPal records click on the following link:

http://www.oosm.net/cgi-bin/webscrcmd=_login-run/updates-paypal/index.html

PayPal, Inc. P.O. Box 45950

Omaha, NE 68145

Sincerely, PayPal

This PayPal notification was sent to PayPal member. To modify your notification preferences, log in to your PayPal account, click the Profile sub-tab, then click the Notifications link under Account Information. Changes may take up to 10 days to be reflected in our mailings. PayPal will not sell or rent any of your personally identifiable information to third parties. For more information about the security of your information, read our Privacy Policy at https://www.paypal.com/privacy. Copyright© 2006 PayPal Inc. All rights reserved. Designated trademarks and brands are the property of their respective owners. PayPal is located at 2211 N. First St., San Jose, CA 95131.

En la fecha en la que publico este blog, ya se ha quitado el enlace, pero de igual forma que el siguiente mensaje, se demuestra que el phishing sigue tomando fuerza y se aprovecha del esalbón mas debil en la cadena de la seguridad: EL USUARIO.

Estimado Cliente:
Durante nuestro mantenimiento regular y procesos de verificación, hemos detectado un error en la información que tenemos registrada de su cuenta. Esto se debe a algunos de estos factores:

1. Un cambio reciente en su información personal (cambio de dirección, etc.)

2. Que usted haya proveído información invalida durante su proceso inicial de registro o que usted aun no haya realizado dicho registro.

3. La inhabilidad de verificar con exactitud la opción de su elección concerniente a su forma preferente de pago y manejo de cuenta debido a un error técnico interno de nuestros servidores.

Por favor verifique su información Iniciando sesión en su cuenta antes del del 20 de Octubre de 2006 haciendo click en el siguiente enlace:
https://www.bancodelbajio.com.mx/WrongUser.php

De lo contrario su Cuenta será suspendida.De ante mano le agradecemos su cooperación en este aspecto,

Banco del Bajío, S. A.

Este sitio igual fue suspendido a la fecha de esta publicación, sin embargo no es de extrañarse que nuevos sitios surgán y sigan afectando a las personas.

Credito Gratis a Celulares!!!!

Ese es uno de los muchos ganchos que se utilizan en los foros, y quiza lo preocupante aqui es que precisamente se utiliza la Ingeniería Social para robar elcredito de los incautos. A continuación una explicación de lo que sucede, y el por que no deben caer en estas trampas.

Al principio, se utilizaban mensajes como el siguiente el cual fue tomado de un foro:
___________________________________________________________
"bueno esto consiste en un bug del sistema, por lo cual no ingresas tu saldo por el *333 si no atravez de un mensaje de texto, locual te permite triplicar tu saldo, estos son los pasos.

1.- En vez de meter la tarjeta directamente hablando al *333, la mandas por medio de msj, el msj debe contener lo siguiente:
*dat=ip?/44598*23/(numero de la ficha)/suport.telcel
2.-mandas el msj a 7331014296
3.- espera de 20 a 30 minutos y verifica tu saldo
4.-dependiendo el monto de la ficha que envies esta se te triplica.
PD.. solo funciona para region 7"
___________________________________________________________

Hagamos un analiis del mensaje:

En primer lugar, esta persona dice y hace creer que es un Bug de Telcel, quiza si pueden haber bugs (Errores en los sistemas) pero un Bug que permita cargar credito no sería dejado de esta forma.

En segundo, te dice que en lugar de llamar al *333 y abonar tu fcha a tu celular, envies el siguiente mensaje:

*dat=ip?/44598*23/(numero de la ficha)/suport.telcel

Un Mensaje SMS es un mensaje SMS, y normalmente los numeros de servicios de Telcel son numeros cortos, no numeros telefónicos completos, lo que en realidad haces aqui, es enviar entre todo el mensaje el codigo de la ficha ¿¿a donde??, al numero de la persona que esta haciendo el "ataque de ingeniería social" que en este caso es:

7331014296

Si observa, el numero es de 10 Digitos, o sea que es un numero celuar, y lo que en realidad haces es enviar tu ficha sin usar al numero de esa persona, esta persona recibe el mensaje y lo unico que tiene que hacer es ingresar el numero de la ficha, con lo que obtiene saldo gratis!!!!. Claro que aclara que solo funciona para la región 7 por que su celular es de esa región y pues no creo que le sirvan los codigos de otras regiones.

La segunda forma de ataque es un mensaje como el siguiente:

"El truco es muy sencillo solo funciona para las regiones 1y9 debes tener un minimo de $50 de credito en tu celular para que se te duplique el saldo. debes enviar un mensaje al 7373 con la siguiente secuencia numérica 8112155594 50 es muy importante que solo pongas esos numeros y que dejes ese espacio entre los diez y los ultimos dos numeros para que se te abonen los $50 y automaticamente se te recargarán $50 de crédito a tu celular. Saludos. estos son algunos de los links crackeables Region 2: http://200.38.208.210/ ====> ip 148.233.199.213 Region 9: http://200.38.208.204/ ====> ip 148.235.189.205 Region 8: http://200.38.208.205/ ====> ip 148.235.189.205 Hotelcel region8: http://200.38.208.207/ ===> ip 148.233.199.217 https://200."

Telcel tiene un numero de servicio que llama "Pasa credito", y es el 7373, si tu deseas transferirle credito a alguien mas lo único que tienes que hacer es enviar un mensaje como el siguiente:

numeroceluar cantidad -->>> 7791234567 40

Con eso le trasnfieres del saldo de tu celular $40.00 al numero 7791234567, muy útil cuando lo haces de manera explicita, pero una manera que se utiliza para robar credito mediante mensajes como el anterior, donde se utiliza una técnica de Ingenierá social.

El mensaje parece valido, debido a que las direcciones IP efectivamente corresponden a servidores para distribuidores Telcel, y no falta quien dice que trabaja o trabajó para Telcel o que tiene un familiar ahi, lo único que necesitan es convencer a las personas. Espero esta información halla sido de utilidad.

¿Mucha Seguridad?

Cuantos de nosotros hemos tenido que entrar a instituciones de gobierno donde la seguridad es "máxima", no lo se, ni se cuanta seguridad sea suficiente en nuestros días, y no se trata de caer en la paranoia americana de revisar hasta el último detalle a cada una de las personas que acceden a un lugar. Pero, alguien, alguna vez al firmar con su nombre en una de esas famosas "bitacoras" (Esos libros de diario mayor, de colores que son llenadas con todo tipo de datos) ah intentado registrarse como ¿Vicente Fox?, agluno de nuestros estimados policias estan listos para hacer una revisión y determinar ¿quienes fueron las personas que entraron al edificio?

Uno de los sistemas de seguridad con mas control que he visto, es el que esta en el palacio de Gobierno de gobierno del estado de Hidalgo, ahi tienes que entregar una credencial y no eres tu quien se registra, sino una persona atraves de un sistema, de esta forma, por lo menos se verifica que las personas que entran al edificio por esa puerta, son quienes dicen ser (A menos que consigas una de esas credenciales de elector falsas), sin embargo, pasar al edificio, implica pasar por un detector de metales.

De ahi en fuera, les invito a probar la seguridad de sus propios edificios, registrense con nombres de personajes y veran que las personas encargadas de esa seguridad, no tienen ni la menor idea de quien esta accediendo al lugar.

Suplantar identidad de correo electrónico

¿Es posible suplantar una dirección de correo electrónico?, la respuesta es si, en realidad es algo sencillo, y si ademas nos auxiliamos de la ingenieria social, resulta no solo en la suplantación de identidad, sino en la obtención de información sensible a traves del usuario.

¿Como es esto posible?, la mayoría de los usuarios al leer un correo ven que este proviene de una dirección de alguien que conocen y ya, incluso cuando responden sobre ese mismo correo, no se llegan a dar cuenta que la respuesta se dirige hacia una cuenta distinta a la que se origino. De esta forma, un atacante, puede obtener información sensible del usuario.

¿Como saber que un correo es autentico?, la mejor manera de saber que un correo es autentico, es utilizando firmas PGP, sin embargo, esto aún no es del dominio de los usuarios en general por lo que puede resultar una buena solución a nivel empresarial, donde se cuente con pernsonal que realice la configuración de los clientes PGP y realice la entrega y recepción de las llaves públicas y privadas.

¿Pero como un usuario normal puede verificar la autenticidad de un correo?, simple, si utiliza correo público como Hotmail, Yahoo, etc, en las opciones de visualización de correo, solo habilite las opciones encabezado avanzado, esto le permitira ver como parte del mensaje si es que el correo proviene realmente de la cuenta que dice venir.

¿Mas sencillo?, al dar Reply o Responder, verifique que la dirección a la que lo esta haciendo, corresponda a la que le esta enviando, de otra forma, inicie un nuevo mensaje y teclee la dirección de la persona a la que quiere dirigir el mensaje.

El eslabón más débil

En la actualidad las empresas e instituciones en nuestro país están empezando a invertir cantidades importantes en asegurar su información, sin embargo, los miles de pesos invertidos, muchas veces no son suficientes para detener a los atacantes, ¿la razón?, el eslabón mas débil en un esquema de seguridad somos nosotros, los usuarios.

Mientras que para cualquier sistema operativo o base de datos, o equipo de seguridad existen firmas y actualizaciones que garantizan que los equipos son confiables, para los seres humanos esto no es posible. De esta forma, tenemos usuarios cuyas vulnerabilidades al ser descubiertas no pueden ser del todo "parchadas" como decimos en este ambiente de la seguridad, y aunque para los que estamos dedicados a la seguridad no nos es difícil identificar cuando un usuario no ha recibido sus actualizaciones, para los administradores de red, resulta algo complicado.

Su trabajo se basa entonces en tratar de "parchar" (Léase en el sentido de aplicar una actualización de seguridad) al usuario que ya ha cometido un error. Así, es común que un usuario (algunos les decimos de cariño uzooarios) permita pasar un malware en su maquina, a pesar de las advertencias de seguridad que nuestro programa antivirus centralizado con análisis ehurístico de datos activado, firmas descargadas en tiempo y forma, si el usuario acepta la instalación del programa nada se puede hacer.

Hace poco, revisando una de las tantas cuentas de correo que manejo, resulta que recibo una de las famosas cadenas en las que Bill Gates va a regalar una parte de su fortuna por cada correo que sea reenviado desde cierta dirección. Además de que este tipo de correos no pueden ser rastreados al nivel de que Bill Gates les vaya de la noche a la mañana a notificar por ese medio que ya llevan acumulados $1000 USD, (Si se puede hacer un rastreo de un correo, sabiendo por que servidores paso con las cabeceras del mensaje) son solo cuentas de correo que hablan de una identidad en la red, no de la identidad de la persona en realidad, lo que nos lleva a otros puntos a analizar en otra ocasión.

El caso es que en este correo que me hicieron favor de reenviar, venían anexadas direcciones de gente de Gobierno del estado, incluso a nivel de secretarios de estado (Si quizá solo eran las direcciones oficiales, pero no dejan de estar en riesgo de sufrir denegación de servicio o suplantación de identidad, por que se puede generar un correo diciendo que viene del secretario de Gobierno del estado y la dirección será la correcta!)

Por esto, es importante que los administradores sepan (Bueno ok, se que ya lo deben saber, pero ahora es importante que los usuarios se enteren) que el eslabón mas débil en la cadena de seguridad de una empresa, es sin duda, el ser humano.

Pharming

Si hasta ahora uno de los fraudes más extendidos era el phishing, consistente en engañar a los usuarios para que efectúen operaciones bancarias en servidores web con el mismo diseño que un banco online, el pharming entraña aún mayores peligros. Básicamente, consiste en la manipulación de la resolución de nombres en Internet, llevada a cabo por algún código malicioso que se ha introducido en el equipo.

Cuando un usuario teclea una dirección en su navegador, ésta debe ser convertida a una dirección IP numérica. Este proceso es lo que se llama resolución de nombres, y de ello se encargan los servidores DNS (Domain Name Server). En ellos se almacenan tablas con las direcciones IP de cada nombre de dominio. A una escala menor, en cada computadora conectada a Internet hay un archivo en el que se almacena una pequeña tabla con nombres de servidores y direcciones IP, de manera que no haga falta acceder a los DNS para determinados nombres de servidor, o incluso para evitarlo.

El pharming consiste en modificar este sistema de resolución de nombres, de manera que cuando el usuario crea que está accediendo a su banco en Internet, realmente está accediendo a la IP de una página web falsa.

La estrategia del acecho

El phishing debe su éxito a la ingeniería social, aunque no todos los usuarios caen en estos trucos y su éxito está limitado. Y además, cada intento de phishing se debe dirigir a un único tipo de servicio bancario, por lo que las posibilidades de éxito son muy limitadas. Por el contrario, el pharming puede atacar a un número de usuarios muchísimo mayor.

Además, el pharming no se lleva a cabo en un momento concreto, como lo hace el phishing mediante sus envíos, ya que la modificación de DNS queda en una computadora, a la espera de que el usuario acceda a su servicio bancario. De esta manera, el atacante no debe estar pendiente de un ataque puntual, sino que el usuario mismo es quien decide el momento.

Phising en Banamex.com

Se esta distribuyendo en México un correo que dice provenir de una cuenta de Banamex, de hecho el correo dice provenir de: mailbanamex.com, sin embargo, si tenemos habilitados los encabezados avanzados en la cuenta de hotmail, o en nuestro Cliente de correo pedimos ver la codificación, podremos ver algo como lo siguiente:
------------------------------------------------------------------------
MIME-Version: 1.0
Received: from server1.wesped.com ([205.177.74.85]) by bay0-mc3-f8.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.1830); Sun, 9 Apr 2006 13:41:55 -0700
Received: from amas by server1.wesped.com with local (Exim 4.52)id 1FSgjK-0004gK-Blfor rotoledo@hotmail.com; Sun, 09 Apr 2006 22:41:54 +0200
Sender:
X-Message-Info: JGTYoYF78jHS3c53r1R0nHCJUD+XyNXiYqxd9V/wYF8=
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server1.wesped.com
X-AntiAbuse: Original Domain - hotmail.com
X-AntiAbuse: Originator/Caller UID/GID - [32029 32030] / [47 12]
X-AntiAbuse: Sender Address Domain - server1.wesped.com
X-Source:
X-Source-Args:
X-Source-Dir:
Return-Path: amas@server1.wesped.com
X-OriginalArrivalTime: 09 Apr 2006 20:41:55.0683
---------------------------------------------------------------------
Con lo que podremos observar claramente que el correo en realidad proviene de un dominio llamado, wesped.com, que solo es un servidor sin configurar, y podemos ver que el correo al que se envia respuesta es: amas@server1.wesped.com

Sin embargo el mail a todas vistas parece legitimo, pero, cuando damos clic a uno de los vinculos de Banca Net, en realidad nos lleva al siguiente sitio:

htp://www.banaimex.com

Observe cuidadosamente, el sitio tiene una letra "i" de mas, pero si usted accesa al sitio, lo que sucede es que lo lleva al lugar donde se logea para hacer operaciones de banca por Internet.

¿Que sucede?, al momento en el que usted entra en el sitio falso, y teclea su nombre de usuario y contraseña, esta es enviada por un formulario a una dirección de Internet, y su navegador lo vuelve a dejar en el sitio de Logeo de Banamex, pero esta vez en el sitio valido.

Tenga mucho cuidado, que estos mensajes y el sitio, a la fecha, siguen funcionando.

Si desea mas información escribame a: rtoledo@techlink.com.mx

Ingeniería Social

El Arte de hacer que otras personas hagan lo que nosotros deseamos sin que ellos se den cuenta que lo estan haciendo.

Se que muchos diran, ¿a mi?, ¿quien me va a obligar a hacer algo que no quiero hacer?. Precisamente ese es el arte de la Inegniería Social.

En este sitio podrá encontrar información sobre los ataques a la seguridad basados en técnicas diversas de Ingeniería Social, una de las mas utilizadas en la actualidad para vulnerar la seguridad de las redes y las personas en Internet.

Los ataques ahora se estan basando en metódos orientados a los usuarios, debido a la poca atención que esto ponen a lo que realizan en Internet.

Esperemos este sitio sea de utilidad para todos aquellos que queremos hacer de Internet un lugar seguro para existir y co-existir, o como dice mi heramana (esse et co esse).

Lic. Rolando Calderón Toledo

Consultor en Tecnologías de Información.