Menéame: comentarios [940473]

#21 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

sorrillo — Sun, 02 May 2010 18:36:36 +0000

#20 Para evitar el problema del certificado digital se podría hacer la web sin https, que sería mas discreto. Evidentemente el atacante sí iniciaría la sesión https correspondiente con la web del banco.

También se puede generar un certificado digital como el que comento en #3. De hecho cualquier certificado digital de un proveedor reconocido creo que serviría para engañar al usuario medio. Ya que éste solo podría darse cuenta si leyera el certificado digital, algo que nadie hace.

» autor: sorrillo

#20 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

jors — Sun, 02 May 2010 17:41:02 +0000

#18 Como no encontré ningún ejemplo del tema y me hizo gracia ver cómo se podría hacer, no me importó hacerlo público. Para eso tengo el blog. Como no quiero dar más la paliza con este tema en meńeame, los updates de los fregaos que me ha supuesto los pondré allí. Pero resumiendo el status quo, por alguna extraña razón ahora la gente que tiene a Telefónica como ISP, no llegan a nivel de ip (de dns sí) a mi servidor dedicado

Respecto lo que comentas en #19 podría ser viable, pero dar por supuesto que el usuario se traga el certificado del atacante es mucho suponer, porque ahora los navegadores no son tan permisivos con el tema y cumplen bien con el tema de avisar al usuario. Por otro lado, tendría que ser un script algo más trabajado que el publicado en cuanto a prudencia, porque (como comento en uno de mis últimos comentarios del post en el blog) únicamente se cura en salud la primera petición (la de cURL), pero después, cualquier enlace que pinches ya te has delatado: no sólo a nivel de red, sino también en cuanto a la ubicación exacta del script en el servidor. Esto podría salverse haciendo todas las peticiones con cURL, o bien sirviéndolo todo en local (o sea, tener un mirror del sitio y servirlo todo desde el mismo, todo lo contrario que pretendía hacer con el script). Para terminar, habría que ver qué otras medidas de seguridad implementa la entidad a la hora de operar (que seguro que las hay) y cómo podrían contrarestarse.

» autor: jors

#19 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

sorrillo — Sun, 02 May 2010 11:19:58 +0000

Por cierto en lo referente a las tarjetas de códigos o cualquier otra verificación que se pueda hacer como enviarte un código por el teléfono móvil siempre he pensado que había una técnica sencilla y efectiva para salvar esa dificultad.

Se trataría de reescribir la página original en tiempo real de forma que el ataque consistiría en esperar a que el usuario quiera hacer una transferencia y en ese momento modificar el número de cuenta de destino y la cantidad por aquella que el atacante considere oportuna, reescribiendo también la respuesta del banco (en la web) para que concuerde con los datos que el usuario cree haber introducido.

En cuanto a la tarjeta de códigos el usuario introduciría el código correcto para la transferencia modificada de forma que se validaría la operación.

En cuanto a los SMS que envían algunos bancos creo que se informa en el SMS de parte de la cuenta de destino y de la cantidad. La cantidad es muy evidente así que al modificarla probablemente fuera detectada, en cambio en lo que respecta al número de cuenta ya es mas probable que el usuario no se fije suficiente.

Existe algún fallo en mi razonamiento ? sería técnicamente viable ? (da por supuesto que el usuario acepta el certificado digital del atacante, claro está).

» autor: sorrillo

#18 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

sorrillo — Sun, 02 May 2010 11:15:00 +0000

#17 En vaya fregado te has metido. Y todo por intentar poner un ejemplo para que la gente aprenda, algo muy positivo ya que para protegerte de algo lo mejor es conocerlo a fondo.

Una lástima que se haya llegado a estas situaciones surrealistas donde el simple hecho de hablar de algo te convierta en una especie de terrorista digital.

Suerte y que acabe pronto todo este estropicio que han hecho los ISPs.

» autor: sorrillo

#17 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

jors — Fri, 30 Apr 2010 09:10:25 +0000

Dado que ayer ya quité de modo permanente el enlace de la discordia y así se lo hice saber a la gente de Telefónica, quería dar por zanjado el tema, pero... esta mañana me encuentro (de hecho me avisó un amigo) que mi página estaba baneada en más de la mitad de los dns de los ISP's de España

Acabo de dejar recado en Telefónica y, a pesar de haber algunas intermitencias, parece que la cosa empieza a funcionar...

» autor: jors

#16 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

jors — Thu, 29 Apr 2010 16:18:14 +0000

Finalmente y para terminar con el asunto, he tenido un intercambio de correos tanto con el personal de Telefónica como con mi proveedor de hosting (OVH) y voy a tener que "descolgar" la PoC por lo que ellos dicen que es un abuso de marca contra la entidad bancaria. Si no surge mayor inconveniente, lo quitaré en breve, así que quien le quiera echar un vistazo... que aproveche

Y si alguien quiere poder seguir disfrutándola, siempre puede buscarse un hosting ~~gratuito~~ por las Seychelles o algún sitio de similar jurisdicción

» autor: jors

#15 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

jors — Thu, 29 Apr 2010 11:15:01 +0000

Todavía no me han contestado el correo, pero como podeis ver, sí que me han incluído en las listas de phishing y malware, y los navegadores que usan estas BD muestran algo como lo siguiente (Firefox/Iceweasel en el ejemplo):

img708.imageshack.us/img708/8776/marcado.png

Incluso mi hosting me abrió un ticket diciéndome que el site fue hackeado. En fin, seguiremos informando.

» autor: jors

#14 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

jors — Thu, 29 Apr 2010 06:21:27 +0000

EDIT: He recibido un correo del ANTI-FRAUD Command Center, al parecer unos servicios antiphishing que tiene contratado, al menos, un grupo de bancos entre los cuales está La Caixa, y ya les respondí. Pego aquí todo el tinglado para pedir consejo acerca de qué me toca hacer (aunque supongo que tendré que retirar la PoC):

Hi there,

I wrote an article [1] about bank phishing security issues which only purpose is to educate not only the average Internet user about this security concern, but it is also addressed to security professionals who like to be aware and up to date about how malware works.

For this reason, I created a harmless live test with La Caixa site, a bank for which I am a current customer. The test just consists on taking the initial page content (the same way a browser does) and intercept the login process in order to prompt this data only to the user screen through javascript. That's all it does, as you can see & review in the source code (available here [2]).

Having said that, last thing to say is the site IS NOT a fraudulent site, but a technical one with security educational purposes.

[1] enchufado.com/post.php?ID=316
[2] _http://enchufado.com/files/phish_lkx.tbz2_

Kind regards,
--
jors <worbynet@gmail.com>

El mié, 28-04-2010 a las 19:42 +0200, _Anti-Fraud_Command-Center_ escribió:
Hello,
>
> Telefonica Spain is managing the FRAUDULENT ACTIONS against LA CAIXA BANK and all related with BRAND ABUSES against this finantial entity.
>
> We have detected that ENCHUFADO.COM IS HOSTING A FRAUDULENT WEBSITE that offers a BRAND ABUSE against LA CAIXA BANK from the next URL:
>
> _http://enchufado.com/files/phishing_lacaixa.php_
>
>
> with this IP: 91.121.3.99, HOSTED ON YOUR NETWORK.
>
>
> This FRAUDULENT WEBSITE represents a MISUSE OF THE INTELLECTUAL PROPERTY of LA CAIXA BANK.
>
> We need your colaboration for stopping this fraud, getting offline the fraudulent website.
>
> We keep waiting for your feedback against this incident.
>
> If you need further information please contact our SOC 24/7 at +34 91 754 xxxx / xxxx.
>
> Best regards.
>
>
> ------------------------------------------------------------
> ANTI-FRAUD Command Center
>
> Antiphishing Services
> SOC - Telefonica Empresas
>
> Tlf: +34 91 754 xxxx /xxxx
> Fax: +34 91 181 xxxx
> Email: _phishing_at_telefonica.es_
>

PD. Cómo no se cómo se edita la entrada, lo puse aquí.

Nota de admin: se han borrado las últimas cifras de teléfonos a pedido de Telefónica, que pedía el borrado de éste y otro comentario (al cuál nos hemos negado)

» autor: jors

#13 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

jors — Wed, 28 Apr 2010 23:27:21 +0000

#12 Vale, entonces el que no lo pillé fui yo, sorry

» autor: jors

#12 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

AlphaFreak — Wed, 28 Apr 2010 23:14:22 +0000

#11 Jejejej... me refería concretamente al CEREBRO del usuario (lo que tiene físicamente detrás de los ojos ;)). Lo que no pillo son las siglas... veamos que dice San Google:

Problem Exists Between Keyboard And Chair

OK, es precisamente la frase que estaba buscando

» autor: AlphaFreak

#11 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

jors — Wed, 28 Apr 2010 23:12:00 +0000

#10 Que la parte más insegura de un sistema no es lo que hay detrás de los ojos de un usuario (entiendo que te referias a terceros), sino ¡el propio usuario!

» autor: jors

#10 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

AlphaFreak — Wed, 28 Apr 2010 23:02:50 +0000

#9 No lo pillo...

» autor: AlphaFreak

#9 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

jors — Wed, 28 Apr 2010 23:02:00 +0000

#8 Yo no iría tan lejos: PEBKAC

Gracias a todos, un placer saber que hay a quién gustó la entrada.

» autor: jors

#8 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

AlphaFreak — Wed, 28 Apr 2010 22:44:33 +0000

#5 "Insider information": unos phishers muy cachondos mandaron mails pidiendo las 60 claves, ofreciendo como alternativa un número de fax para enviar la tarjeta, ahorrando amablemente el trabajo de teclear los 240 dígitos...

No hace falta decir que hubo quien picó...

¿Cómo era aquello de que la parte más insegura de un sistema es siempre lo que hay detrás de los ojos del usuario?

» autor: AlphaFreak

#7 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

--55420-- — Wed, 28 Apr 2010 22:41:28 +0000

“¿Hablamos?” Empieza por tus claves, por ejemplo...

» autor: --55420--

#6 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

jeybemust — Wed, 28 Apr 2010 22:25:12 +0000

#5 Pues eso, sin Pin lo único que puedes hacer es consultar u operaciones "no dañinas" como transferencias entre cuentas de "La Caixa" del mismo titular.

» autor: jeybemust

#5 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

genteta — Wed, 28 Apr 2010 22:23:17 +0000

La única pega que tendrían los atacantes es que con el pin en la Caixa no les serviria para sacar tajada, puesto que se necesitarian los otros 60 PINS que vienen en una tarjeta. Aunque aun me acuerdo de aquel correo que me enviaron en el que ponia:

- Por favor ingrese los 60 PINS de su tarjeta Linea Abierta

Por lo demás chapó al creador.

» autor: genteta

#4 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

sabueso — Wed, 28 Apr 2010 22:18:52 +0000

Jesulin , ese gran maestro , no lo podia expresar mejor.
IM-PRESIONANTE

» autor: sabueso

#3 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

sorrillo — Wed, 28 Apr 2010 22:14:57 +0000

A este tutorial le podemos sumar esta técnica para obtener un certificado digital válido: www.meneame.net/story/yo-soy-vodafone.es-orangemail.es-mixmail.com

En cualquier caso un buen consejo es no pinchar nunca en ningún enlace de correo electrónico que haga referencia a un sitio que maneje dinero (banca online, paypal, ebay, etc.).

» autor: sorrillo

#2 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

--164398-- — Wed, 28 Apr 2010 22:02:16 +0000

[Usuario deshabilitado]

» autor: --164398--

#1 Ejemplo práctico de phishing bancario (patrocinado por La Caixa)

Stash — Wed, 28 Apr 2010 21:45:43 +0000

Sencillamente magistral.
Salvo que te fijes en la URL, el común de los mortales picaría.

» autor: Stash