Phishing no habitual en PayPal y Amazon

Ayer y hoy recibimos reportes de un tipo phishing no muy usual. Si bien no es la primera vez que lo vemos, nos pareció interesante compartirlo con ustedes, debido a la metodología utilizada.

PayPal

El correo falso con su típico argumento engañoso no trae un enlace a una página web falsa, sino un formulario en un archivo adjunto que se menciona en el texto del correo.

20140905_Phishing_PayPal_fakeemail

En caso que la víctima crea el engaño, al abrir el archivo adjunto verá en su navegador el siguiente formulario:

20140905_Phishing_PayPal_fakeform

Se observa la detallada y valiosa información solicitada. Con todo estos datos cualquier inescrupuloso puede realizar compras a cargo de la víctima.

El código del formulario PP-042-405-042.shtml, para ocultar el destino de la información que se roba, posee algunas secciones codificadas de manera de ofuscar su contenido y lectura.

20140905_FormPayPal-ofuscado

Luego de decodificar las secciones ofuscadas se puede analizar:

20140905_FormPayPal-desofuscado

Ahora si, se identifica el destino de los datos robados: http://www.games.net.au/error.php el cual es un sitio abusado.

Este sitio de juegos de Australia esta alojado en un proveedor de hosting del mismo país. Esa empresa respondió por su canal de chat de soporte desde su propia página web, de forma inmediata y accedieron sin ningun reparo a solucionar casi de inmediato el problema. De tal manera quedó desactivado el mecanismo de recepción de la información robada.

También nos indicaron la dirección de correo destino a donde el archivo error.php enviaba la información robada.

Conclusión: aunque este correo phishing no poseía ningún enlace, si tenía un archivo adjunto. De una u otra forma es válida la recomendación de no abrir nunca en los correos ni enlaces ni adjuntos no solicitados o habituales.

Amazon

El correo engañoso que se recibe dice que: “Your account is frozen per our compliance department”. O sea que la cuenta Amazon fue congelada por el departamento de cumplimiento. El correo con solo una imágen que contiene todo el texto es este:

20140908_Phishing_Amazon_FakeEmail

El único enlace del correo es estehttps://www.facebook.com/download/%5BELIMINADO%5D/PP_002_054_171_429.html que es una descarga benigna de un archivo HTML el cual deberíamos abrir. Luego de analizarlo, se comprobó que no es detectado por ningun antivirus. Además procedemos a una revisión de su texto sin encontrar código ofuscado con vimos en el caso anterior.

Al abrir el formulario seguimos por las siguiente pantallas en el navegador:
Primero una carga inical de direccion de correo de nuestra cuenta Amazon y la contraseña. Luedo de ello al presionar el botón esa información no fue enviada a ninguna parte sino que pasamos a una simulación:

20140908_Phishing_Amazon_FakeWeb2

Para luego pasar a un formulario donde cargar todos los datos personales y de tarjeta de crédito que son los necesarios para realizar una compra y validar la identidad.

20140908_Phishing_Amazon_FakeWeb3

Ahora si, al pulsar al botón detectamos tráfico http con un POST a http://pluss.esy.es/send.php con todos los datos capturados (ese recurso abusivo ya fue removido).
A continuación somos informados que el proceso fue exitoso (se robaron los datos con éxito).

20140908_Phishing_Amazon_FakeWeb4

Y seremos redirigidos a la página oficial de Amazon.

Conclusión: luego de haber sido engañada la víctima, habrá sufrido a) el robo de sus credenciales de ingreso a Amazon y b) de su información de tarjeta de crédito.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s