Portada
mis comunidades
otras secciones
También miré el fichero de hosts y estaba bien. Sólo tenía la 127.0.0.1
Solamente verás esta página be.caja-ingenieros.es/... una vez te hayas logueado a través de la página principal del banco.
#102 Cierto, no había observado lo del iframe (que manda huevos por otra parte)...
#101 No necesariamente... basta con que en tu router los DNS resuelvan el ALIAS (la dirección en modo texto) a otra IP diferente.
Bueno, en el router o como dice #105, en el fichero de hosts de tu propio equipo.
#108 OK, admito entonces que la ruta puede ser 100% la correcta... pero de ahí a meter toda la tarjeta de códigos, a mi me haría sospechar infinitamente.
Again. Soy el del post.
Una vez entrado el nombre de usuario y la contraseña en la página principal se abre otra ventana. Es una ventana emergente y la URL cambia. Incluso la URL de la página falsa emergente es dificil de distinguir de la verdadera. Las dos son de este tipo:
be.caja-ingenieros.es/....
Soy el creador del post.
Repito: la dirección del banco, aunque sacada del Goolgle, era la correcta. Incluso el código fuente de ella, el html, era 100% correcto. Lo comparé con el html descargado des de un ordenador no infectado y eran 100% iguales. La diferencia es que al entrar el nombre de usuario y el password desde un ordenador infectado, entonces, me mandaba a la página falsa.
Soy el creador de ese post.
Un clarificación: la URL de la página principal del banco, aunque sacada del Google, era la correcta!!!
No puedo entender cómo de ahí podía saltar a una página falsa tras introducir el nombre de usuario y la contraseña. Supongo que ese es el trabajo del virus.
#75 ¿100% seguro de que era correcta? ¿no era ".com" en vez de ".es" o ".org" (etc)? ¿100% seguro de que no incluía algun caracter diferente en toda la URL?... no termino de creérmelo, lo siento.
#75 #79 #91 La URL puede ser la correcta, si han envenenado tu DNS y hacen que las webs de bancos vayan a su servidor preparado con hosts virtuales para representar las web de los bancos más populares, pero luego hace falta el certificado SSL válido, tu navegador si está actualizado tendría que darse cuenta de que no está bien firmado... a no ser que directamente no pongan certificado, cosa que has de verificar. (en un banco siempre debe haber un certificado de cifrado SSL)
#100: Exacto, lo del Live CD es solo una barrera más, no la única. Otras barreras más son lo que dices.
#79: Por curiosidad... ¿Eso significa que podría estar infectado el servidor del banco?
Lo digo porque la parte final del dominio es la misma, y me parece raro.
#79: Por curiosidad... ¿Eso significa que podría estar infectado el servidor del banco?
Lo digo porque la parte final del dominio es la misma, y me parece raro.
#102 Cierto, no había observado lo del iframe (que manda huevos por otra parte)...
#101 No necesariamente... basta con que en tu router los DNS resuelvan el ALIAS (la dirección en modo texto) a otra IP diferente.
Bueno, en el router o como dice #105, en el fichero de hosts de tu propio equipo.
#108 OK, admito entonces que la ruta puede ser 100% la correcta... pero de ahí a meter toda la tarjeta de códigos, a mi me haría sospechar infinitamente.
#101 Que esté infectado el servidor no es imposible pero me parece improbable ya que lo tendrán bastante blindado contra los ataques (por lo general no da mucha confianza un banco al que hackean la web :P). Es más sencillo infectar a un usuario usando un poco de ingeniería social (un crack para un juego, una barra megafantástica para el IE, unos iconos superchulos para el messenger...).
Que la dirección URL sea la verdadera no quiere decir nada ya que ésta se tiene que traducir a una IP. Incluso aunque esa IP fuera verdadera, un ordenador infectado puede estar configurado con un proxy (incluso puede que esté alojado en el propio ordenador del usuario), el cual interceptará los accesos HTTP/HTTPS al host remoto y devolverá el código HTML falsificado.
#102
No es externa:
Domain: caja-ingenieros.es
Reg. date: 1998-08-26
Exp. date: 2016-08-26
Owner: Caja de Credito de los Ingenieros
Admin contact: wedge HLV1-ESNIC-F4
Tech contact: wedge JAVS3-ESNIC-F4
Billing contact: wedge
Nameserver 1: dns2.nexica.net
Nameserver 2: dns1.nexica.com
Registrar: UBILIBET
Domain: cajaingenieros.es
Domain: cajaingenieros.es
Reg. date: 2005-08-10
Exp. date: 2016-08-10
Owner: Caixa d'Enginyers
Admin contact: wedge CGB1-ESNIC-F4
Tech contact: wedge ALG12-ESNIC
Billing contact: wedge
Nameserver 1: dns1.nexica.com
Nameserver 2: dns2.nexica.net
Registrar: UBILIBET
Pertenecen al mismo banco.
#75: A veces ocurre dos cosas:
A) El dominio es incorrecto, pero puede parecer correcto si no sabemos mirar (y si los periodistas no enseñan a mirarlo bien). El dominio es desde la primera barra inclinada hasta el HTTP, más o menos, es al revés...
Por ejemplo, te podrían intentar colar esto:
www.bancosantander.es.blabla.hk/blablabla/blablabla.php
Bien, el dominio sería....
1 - hk
2 - blabla
3 - es
4 - bancosantander
5 - www
Es decir, aunque empiece por la dirección correcta, NO es la dirección correcta, puesto que lo que hay justo antes de la barra es muy diferente. Recuerda, el domino es hasta la primera barra inclinada que aparece, y para comprobarlo, hay que ir hacia el inicio en sentido contrario a como se escribe.
Miremos el de Meneame:
1 - net
2 - meneame
3 - www
Corregidme si me equivoco en algo.
Por otro lado está el caso B) Virus que ponen un Flash justo delante de la barra de direcciones del navegador. Ni que decir tiene que esto se soluciona con un Live CD. Un live CD no es fácil de modificar por un virus y que todo quede transparente al usuario.
#187 pasa el puntero del ratón por encima de las direcciones y mira la barra de estado (o donde salga la URL de un link en tu navegador), verás que los enlaces llevan a páginas diferentes.
Concretamente, el enlace de arriba lleva a http://www.caja-ingenieros.es/ y el de abajo a http://www.xn--caja-ingeniers-sgk.es/
#189 uh no. Lo paso por encima y no sale eso, sale lo mismo para las dos, esas cosas ya las he mirado. Al final he encontrado la diferencia en la última o, pero para ello he tenido que abrir el procesador de textos y cambiar la fuente a Dingbats, en Symbol seguian siendo iguales. Me imagino que es un juego con caracteres unicode o algo así, que haya dos que tengan la misma apariencia, uno es la o obviamente, el otro npi.
#196 pues cambia de navegador jajaja. Despues de decirlo sí que es cierto que la última o es diferente (al menos tal y como tengo las fuentes). Es más estrecha.
Supongo que habrás puesto los enlaces para que no se vea en la barra de estado la url final, y dado que uso software minoritario (el navegador web epiphany) no soy susceptible a eso, al menos tal y como lo has hecho. Pero qué leches, si me sale a mi también me lo hubiera tragado (al menos por la URL).
* Y si no lo has hecho tu... el que haya sido.
Descripción detallada de un caso real de phishing sucedido en agosto de 2011.
Descripción detallada de un caso real de phishing sucedido en agosto de 2011.
Ya sé que la culpa fue mía. Gracias por recordármelo porque casi se me había olvidado...
También miré el fichero de hosts y estaba bien. Sólo tenía la 127.0.0.1
Solamente verás esta página be.caja-ingenieros.es/... una vez te hayas logueado a través de la página principal del banco.
#102 Cierto, no había observado lo del iframe (que manda huevos por otra parte)...
#101 No necesariamente... basta con que en tu router los DNS resuelvan el ALIAS (la dirección en modo texto) a otra IP diferente.
Bueno, en el router o como dice #105, en el fichero de hosts de tu propio equipo.
#108 OK, admito entonces que la ruta puede ser 100% la correcta... pero de ahí a meter toda la tarjeta de códigos, a mi me haría sospechar infinitamente.
Again. Soy el del post.
Una vez entrado el nombre de usuario y la contraseña en la página principal se abre otra ventana. Es una ventana emergente y la URL cambia. Incluso la URL de la página falsa emergente es dificil de distinguir de la verdadera. Las dos son de este tipo:
be.caja-ingenieros.es/....
Soy el creador del post.
Repito: la dirección del banco, aunque sacada del Goolgle, era la correcta. Incluso el código fuente de ella, el html, era 100% correcto. Lo comparé con el html descargado des de un ordenador no infectado y eran 100% iguales. La diferencia es que al entrar el nombre de usuario y el password desde un ordenador infectado, entonces, me mandaba a la página falsa.
Soy el creador de ese post.
Un clarificación: la URL de la página principal del banco, aunque sacada del Google, era la correcta!!!
No puedo entender cómo de ahí podía saltar a una página falsa tras introducir el nombre de usuario y la contraseña. Supongo que ese es el trabajo del virus.
#75 ¿100% seguro de que era correcta? ¿no era ".com" en vez de ".es" o ".org" (etc)? ¿100% seguro de que no incluía algun caracter diferente en toda la URL?... no termino de creérmelo, lo siento.
#75 #79 #91 La URL puede ser la correcta, si han envenenado tu DNS y hacen que las webs de bancos vayan a su servidor preparado con hosts virtuales para representar las web de los bancos más populares, pero luego hace falta el certificado SSL válido, tu navegador si está actualizado tendría que darse cuenta de que no está bien firmado... a no ser que directamente no pongan certificado, cosa que has de verificar. (en un banco siempre debe haber un certificado de cifrado SSL)
#100: Exacto, lo del Live CD es solo una barrera más, no la única. Otras barreras más son lo que dices.
#79: Por curiosidad... ¿Eso significa que podría estar infectado el servidor del banco?
Lo digo porque la parte final del dominio es la misma, y me parece raro.
#79: Por curiosidad... ¿Eso significa que podría estar infectado el servidor del banco?
Lo digo porque la parte final del dominio es la misma, y me parece raro.
#102 Cierto, no había observado lo del iframe (que manda huevos por otra parte)...
#101 No necesariamente... basta con que en tu router los DNS resuelvan el ALIAS (la dirección en modo texto) a otra IP diferente.
Bueno, en el router o como dice #105, en el fichero de hosts de tu propio equipo.
#108 OK, admito entonces que la ruta puede ser 100% la correcta... pero de ahí a meter toda la tarjeta de códigos, a mi me haría sospechar infinitamente.
#101 Que esté infectado el servidor no es imposible pero me parece improbable ya que lo tendrán bastante blindado contra los ataques (por lo general no da mucha confianza un banco al que hackean la web :P). Es más sencillo infectar a un usuario usando un poco de ingeniería social (un crack para un juego, una barra megafantástica para el IE, unos iconos superchulos para el messenger...).
Que la dirección URL sea la verdadera no quiere decir nada ya que ésta se tiene que traducir a una IP. Incluso aunque esa IP fuera verdadera, un ordenador infectado puede estar configurado con un proxy (incluso puede que esté alojado en el propio ordenador del usuario), el cual interceptará los accesos HTTP/HTTPS al host remoto y devolverá el código HTML falsificado.
#102
No es externa:
Domain: caja-ingenieros.es
Reg. date: 1998-08-26
Exp. date: 2016-08-26
Owner: Caja de Credito de los Ingenieros
Admin contact: wedge HLV1-ESNIC-F4
Tech contact: wedge JAVS3-ESNIC-F4
Billing contact: wedge
Nameserver 1: dns2.nexica.net
Nameserver 2: dns1.nexica.com
Registrar: UBILIBET
Domain: cajaingenieros.es
Domain: cajaingenieros.es
Reg. date: 2005-08-10
Exp. date: 2016-08-10
Owner: Caixa d'Enginyers
Admin contact: wedge CGB1-ESNIC-F4
Tech contact: wedge ALG12-ESNIC
Billing contact: wedge
Nameserver 1: dns1.nexica.com
Nameserver 2: dns2.nexica.net
Registrar: UBILIBET
Pertenecen al mismo banco.
#75: A veces ocurre dos cosas:
A) El dominio es incorrecto, pero puede parecer correcto si no sabemos mirar (y si los periodistas no enseñan a mirarlo bien). El dominio es desde la primera barra inclinada hasta el HTTP, más o menos, es al revés...
Por ejemplo, te podrían intentar colar esto:
www.bancosantander.es.blabla.hk/blablabla/blablabla.php
Bien, el dominio sería....
1 - hk
2 - blabla
3 - es
4 - bancosantander
5 - www
Es decir, aunque empiece por la dirección correcta, NO es la dirección correcta, puesto que lo que hay justo antes de la barra es muy diferente. Recuerda, el domino es hasta la primera barra inclinada que aparece, y para comprobarlo, hay que ir hacia el inicio en sentido contrario a como se escribe.
Miremos el de Meneame:
1 - net
2 - meneame
3 - www
Corregidme si me equivoco en algo.
Por otro lado está el caso B) Virus que ponen un Flash justo delante de la barra de direcciones del navegador. Ni que decir tiene que esto se soluciona con un Live CD. Un live CD no es fácil de modificar por un virus y que todo quede transparente al usuario.
#187 pasa el puntero del ratón por encima de las direcciones y mira la barra de estado (o donde salga la URL de un link en tu navegador), verás que los enlaces llevan a páginas diferentes.
Concretamente, el enlace de arriba lleva a http://www.caja-ingenieros.es/ y el de abajo a http://www.xn--caja-ingeniers-sgk.es/
#189 uh no. Lo paso por encima y no sale eso, sale lo mismo para las dos, esas cosas ya las he mirado. Al final he encontrado la diferencia en la última o, pero para ello he tenido que abrir el procesador de textos y cambiar la fuente a Dingbats, en Symbol seguian siendo iguales. Me imagino que es un juego con caracteres unicode o algo así, que haya dos que tengan la misma apariencia, uno es la o obviamente, el otro npi.
#196 pues cambia de navegador jajaja. Despues de decirlo sí que es cierto que la última o es diferente (al menos tal y como tengo las fuentes). Es más estrecha.
Supongo que habrás puesto los enlaces para que no se vea en la barra de estado la url final, y dado que uso software minoritario (el navegador web epiphany) no soy susceptible a eso, al menos tal y como lo has hecho. Pero qué leches, si me sale a mi también me lo hubiera tragado (al menos por la URL).
* Y si no lo has hecho tu... el que haya sido.
Ya sé que la culpa fue mía. Gracias por recordármelo porque casi se me había olvidado...