El artículo presenta un snippet de código breve y sencillo que muestra cómo crear una página que simule la de un típico portal bancario online (en este caso, el de La Caixa) para llevar a cabo ataques de phishing. Se incluye una PoC de carácter inocuo y se proporciona como material didáctico y con los mismos fines.
En cualquier caso un buen consejo es no pinchar nunca en ningún enlace de correo electrónico que haga referencia a un sitio que maneje dinero (banca online, paypal, ebay, etc.).
#20 Para evitar el problema del certificado digital se podría hacer la web sin https, que sería mas discreto. Evidentemente el atacante sí iniciaría la sesión https correspondiente con la web del banco.
También se puede generar un certificado digital como el que comento en #3. De hecho cualquier certificado digital de un proveedor reconocido creo que serviría para engañar al usuario medio. Ya que éste solo podría darse cuenta si leyera el certificado digital, algo que nadie hace.
La única pega que tendrían los atacantes es que con el pin en la Caixa no les serviria para sacar tajada, puesto que se necesitarian los otros 60 PINS que vienen en una tarjeta. Aunque aun me acuerdo de aquel correo que me enviaron en el que ponia:
- Por favor ingrese los 60 PINS de su tarjeta Linea Abierta
#5 Pues eso, sin Pin lo único que puedes hacer es consultar u operaciones "no dañinas" como transferencias entre cuentas de "La Caixa" del mismo titular.
#5 "Insider information": unos phishers muy cachondos mandaron mails pidiendo las 60 claves, ofreciendo como alternativa un número de fax para enviar la tarjeta, ahorrando amablemente el trabajo de teclear los 240 dígitos...
No hace falta decir que hubo quien picó...
¿Cómo era aquello de que la parte más insegura de un sistema es siempre lo que hay detrás de los ojos del usuario?
#10 Que la parte más insegura de un sistema no es lo que hay detrás de los ojos de un usuario (entiendo que te referias a terceros), sino ¡el propio usuario!
#11 Jejejej... me refería concretamente al CEREBRO del usuario (lo que tiene físicamente detrás de los ojos ;)). Lo que no pillo son las siglas... veamos que dice San Google:
Por cierto en lo referente a las tarjetas de códigos o cualquier otra verificación que se pueda hacer como enviarte un código por el teléfono móvil siempre he pensado que había una técnica sencilla y efectiva para salvar esa dificultad.
Se trataría de reescribir la página original en tiempo real de forma que el ataque consistiría en esperar a que el usuario quiera hacer una transferencia y en ese momento modificar el número de cuenta de destino y la cantidad por aquella que el atacante considere oportuna, reescribiendo también la respuesta del banco (en la web) para que concuerde con los datos que el usuario cree haber introducido.
En cuanto a la tarjeta de códigos el usuario introduciría el código correcto para la transferencia modificada de forma que se validaría la operación.
En cuanto a los SMS que envían algunos bancos creo que se informa en el SMS de parte de la cuenta de destino y de la cantidad. La cantidad es muy evidente así que al modificarla probablemente fuera detectada, en cambio en lo que respecta al número de cuenta ya es mas probable que el usuario no se fije suficiente.
Existe algún fallo en mi razonamiento ? sería técnicamente viable ? (da por supuesto que el usuario acepta el certificado digital del atacante, claro está).
#18 Como no encontré ningún ejemplo del tema y me hizo gracia ver cómo se podría hacer, no me importó hacerlo público. Para eso tengo el blog. Como no quiero dar más la paliza con este tema en meńeame, los updates de los fregaos que me ha supuesto los pondré allí. Pero resumiendo el status quo, por alguna extraña razón ahora la gente que tiene a Telefónica como ISP, no llegan a nivel de ip (de dns sí) a mi servidor dedicado
Respecto lo que comentas en #19 podría ser viable, pero dar por supuesto que el usuario se traga el certificado del atacante es mucho suponer, porque ahora los navegadores no son tan permisivos con el tema y cumplen bien con el tema de avisar al usuario. Por otro lado, tendría que ser un script algo más trabajado que el publicado en cuanto a prudencia, porque (como comento en uno de mis últimos comentarios del post en el blog) únicamente se cura en salud la primera petición (la de cURL), pero después, cualquier enlace que pinches ya te has delatado: no sólo a nivel de red, sino también en cuanto a la ubicación exacta del script en el servidor. Esto podría salverse haciendo todas las peticiones con cURL, o bien sirviéndolo todo en local (o sea, tener un mirror del sitio y servirlo todo desde el mismo, todo lo contrario que pretendía hacer con el script). Para terminar, habría que ver qué otras medidas de seguridad implementa la entidad a la hora de operar (que seguro que las hay) y cómo podrían contrarestarse.
EDIT: He recibido un correo del ANTI-FRAUD Command Center, al parecer unos servicios antiphishing que tiene contratado, al menos, un grupo de bancos entre los cuales está La Caixa, y ya les respondí. Pego aquí todo el tinglado para pedir consejo acerca de qué me toca hacer (aunque supongo que tendré que retirar la PoC):
Hi there,
I wrote an article [1] about bank phishing security issues which only purpose is to educate not only the average Internet user about this security concern, but it is also addressed to security professionals who like to be aware and up to date about how malware works.
For this reason, I created a harmless live test with La Caixa site, a bank for which I am a current customer. The test just consists on taking the initial page content (the same way a browser does) and intercept the login process in order to prompt this data only to the user screen through javascript. That's all it does, as you can see & review in the source code (available here [2]).
Having said that, last thing to say is the site IS NOT a fraudulent site, but a technical one with security educational purposes.
El mié, 28-04-2010 a las 19:42 +0200, _Anti-Fraud_Command-Center_ escribió:
Hello,
>
> Telefonica Spain is managing the FRAUDULENT ACTIONS against LA CAIXA BANK and all related with BRAND ABUSES against this finantial entity.
>
> We have detected that ENCHUFADO.COM IS HOSTING A FRAUDULENT WEBSITE that offers a BRAND ABUSE against LA CAIXA BANK from the next URL:
>
> _http://enchufado.com/files/phishing_lacaixa.php_
>
>
> with this IP: 91.121.3.99, HOSTED ON YOUR NETWORK.
>
>
> This FRAUDULENT WEBSITE represents a MISUSE OF THE INTELLECTUAL PROPERTY of LA CAIXA BANK.
>
> We need your colaboration for stopping this fraud, getting offline the fraudulent website.
>
> We keep waiting for your feedback against this incident.
>
> If you need further information please contact our SOC 24/7 at +34 91 754 xxxx / xxxx.
>
> Best regards.
>
>
> ------------------------------------------------------------
> ANTI-FRAUD Command Center
>
> Antiphishing Services
> SOC - Telefonica Empresas
>
> Tlf: +34 91 754 xxxx /xxxx
> Fax: +34 91 181 xxxx
> Email: _phishing_at_telefonica.es_
>
PD. Cómo no se cómo se edita la entrada, lo puse aquí.
Nota de admin: se han borrado las últimas cifras de teléfonos a pedido de Telefónica, que pedía el borrado de éste y otro comentario (al cuál nos hemos negado)
Todavía no me han contestado el correo, pero como podeis ver, sí que me han incluído en las listas de phishing y malware, y los navegadores que usan estas BD muestran algo como lo siguiente (Firefox/Iceweasel en el ejemplo):
Incluso mi hosting me abrió un ticket diciéndome que el site fue hackeado. En fin, seguiremos informando.
Finalmente y para terminar con el asunto, he tenido un intercambio de correos tanto con el personal de Telefónica como con mi proveedor de hosting (OVH) y voy a tener que "descolgar" la PoC por lo que ellos dicen que es un abuso de marca contra la entidad bancaria. Si no surge mayor inconveniente, lo quitaré en breve, así que quien le quiera echar un vistazo... que aproveche
Y si alguien quiere poder seguir disfrutándola, siempre puede buscarse un hosting gratuito por las Seychelles o algún sitio de similar jurisdicción
Dado que ayer ya quité de modo permanente el enlace de la discordia y así se lo hice saber a la gente de Telefónica, quería dar por zanjado el tema, pero... esta mañana me encuentro (de hecho me avisó un amigo) que mi página estaba baneada en más de la mitad de los dns de los ISP's de España
Acabo de dejar recado en Telefónica y, a pesar de haber algunas intermitencias, parece que la cosa empieza a funcionar...
#17 En vaya fregado te has metido. Y todo por intentar poner un ejemplo para que la gente aprenda, algo muy positivo ya que para protegerte de algo lo mejor es conocerlo a fondo.
Una lástima que se haya llegado a estas situaciones surrealistas donde el simple hecho de hablar de algo te convierta en una especie de terrorista digital.
Suerte y que acabe pronto todo este estropicio que han hecho los ISPs.
Comentarios
A este tutorial le podemos sumar esta técnica para obtener un certificado digital válido: Yo soy Vodafone.es, y orangemail.es, y mixmail.com
Yo soy Vodafone.es, y orangemail.es, y mixmail.com
securitybydefault.comEn cualquier caso un buen consejo es no pinchar nunca en ningún enlace de correo electrónico que haga referencia a un sitio que maneje dinero (banca online, paypal, ebay, etc.).
#20 Para evitar el problema del certificado digital se podría hacer la web sin https, que sería mas discreto. Evidentemente el atacante sí iniciaría la sesión https correspondiente con la web del banco.
También se puede generar un certificado digital como el que comento en #3. De hecho cualquier certificado digital de un proveedor reconocido creo que serviría para engañar al usuario medio. Ya que éste solo podría darse cuenta si leyera el certificado digital, algo que nadie hace.
Sencillamente magistral.
Salvo que te fijes en la URL, el común de los mortales picaría.
La única pega que tendrían los atacantes es que con el pin en la Caixa no les serviria para sacar tajada, puesto que se necesitarian los otros 60 PINS que vienen en una tarjeta. Aunque aun me acuerdo de aquel correo que me enviaron en el que ponia:
- Por favor ingrese los 60 PINS de su tarjeta Linea Abierta
Por lo demás chapó al creador.
#5 Pues eso, sin Pin lo único que puedes hacer es consultar u operaciones "no dañinas" como transferencias entre cuentas de "La Caixa" del mismo titular.
#5 "Insider information": unos phishers muy cachondos mandaron mails pidiendo las 60 claves, ofreciendo como alternativa un número de fax para enviar la tarjeta, ahorrando amablemente el trabajo de teclear los 240 dígitos...
No hace falta decir que hubo quien picó...
¿Cómo era aquello de que la parte más insegura de un sistema es siempre lo que hay detrás de los ojos del usuario?
#8 Yo no iría tan lejos: PEBKAC
Gracias a todos, un placer saber que hay a quién gustó la entrada.
#9 No lo pillo...
#10 Que la parte más insegura de un sistema no es lo que hay detrás de los ojos de un usuario (entiendo que te referias a terceros), sino ¡el propio usuario!
#11 Jejejej... me refería concretamente al CEREBRO del usuario (lo que tiene físicamente detrás de los ojos ;)). Lo que no pillo son las siglas... veamos que dice San Google:
Problem Exists Between Keyboard And Chair
OK, es precisamente la frase que estaba buscando
#12 Vale, entonces el que no lo pillé fui yo, sorry
“¿Hablamos?” Empieza por tus claves, por ejemplo...
cURL, que poderio!
Por cierto en lo referente a las tarjetas de códigos o cualquier otra verificación que se pueda hacer como enviarte un código por el teléfono móvil siempre he pensado que había una técnica sencilla y efectiva para salvar esa dificultad.
Se trataría de reescribir la página original en tiempo real de forma que el ataque consistiría en esperar a que el usuario quiera hacer una transferencia y en ese momento modificar el número de cuenta de destino y la cantidad por aquella que el atacante considere oportuna, reescribiendo también la respuesta del banco (en la web) para que concuerde con los datos que el usuario cree haber introducido.
En cuanto a la tarjeta de códigos el usuario introduciría el código correcto para la transferencia modificada de forma que se validaría la operación.
En cuanto a los SMS que envían algunos bancos creo que se informa en el SMS de parte de la cuenta de destino y de la cantidad. La cantidad es muy evidente así que al modificarla probablemente fuera detectada, en cambio en lo que respecta al número de cuenta ya es mas probable que el usuario no se fije suficiente.
Existe algún fallo en mi razonamiento ? sería técnicamente viable ? (da por supuesto que el usuario acepta el certificado digital del atacante, claro está).
#18 Como no encontré ningún ejemplo del tema y me hizo gracia ver cómo se podría hacer, no me importó hacerlo público. Para eso tengo el blog. Como no quiero dar más la paliza con este tema en meńeame, los updates de los fregaos que me ha supuesto los pondré allí. Pero resumiendo el status quo, por alguna extraña razón ahora la gente que tiene a Telefónica como ISP, no llegan a nivel de ip (de dns sí) a mi servidor dedicado
Respecto lo que comentas en #19 podría ser viable, pero dar por supuesto que el usuario se traga el certificado del atacante es mucho suponer, porque ahora los navegadores no son tan permisivos con el tema y cumplen bien con el tema de avisar al usuario. Por otro lado, tendría que ser un script algo más trabajado que el publicado en cuanto a prudencia, porque (como comento en uno de mis últimos comentarios del post en el blog) únicamente se cura en salud la primera petición (la de cURL), pero después, cualquier enlace que pinches ya te has delatado: no sólo a nivel de red, sino también en cuanto a la ubicación exacta del script en el servidor. Esto podría salverse haciendo todas las peticiones con cURL, o bien sirviéndolo todo en local (o sea, tener un mirror del sitio y servirlo todo desde el mismo, todo lo contrario que pretendía hacer con el script). Para terminar, habría que ver qué otras medidas de seguridad implementa la entidad a la hora de operar (que seguro que las hay) y cómo podrían contrarestarse.
EDIT: He recibido un correo del ANTI-FRAUD Command Center, al parecer unos servicios antiphishing que tiene contratado, al menos, un grupo de bancos entre los cuales está La Caixa, y ya les respondí. Pego aquí todo el tinglado para pedir consejo acerca de qué me toca hacer (aunque supongo que tendré que retirar la PoC):
Hi there,
I wrote an article [1] about bank phishing security issues which only purpose is to educate not only the average Internet user about this security concern, but it is also addressed to security professionals who like to be aware and up to date about how malware works.
For this reason, I created a harmless live test with La Caixa site, a bank for which I am a current customer. The test just consists on taking the initial page content (the same way a browser does) and intercept the login process in order to prompt this data only to the user screen through javascript. That's all it does, as you can see & review in the source code (available here [2]).
Having said that, last thing to say is the site IS NOT a fraudulent site, but a technical one with security educational purposes.
[1] http://enchufado.com/post.php?ID=316
[2] _http://enchufado.com/files/phish_lkx.tbz2_
Kind regards,
--
jors
El mié, 28-04-2010 a las 19:42 +0200, _Anti-Fraud_Command-Center_ escribió:
Hello,
>
> Telefonica Spain is managing the FRAUDULENT ACTIONS against LA CAIXA BANK and all related with BRAND ABUSES against this finantial entity.
>
> We have detected that ENCHUFADO.COM IS HOSTING A FRAUDULENT WEBSITE that offers a BRAND ABUSE against LA CAIXA BANK from the next URL:
>
> _http://enchufado.com/files/phishing_lacaixa.php_
>
>
> with this IP: 91.121.3.99, HOSTED ON YOUR NETWORK.
>
>
> This FRAUDULENT WEBSITE represents a MISUSE OF THE INTELLECTUAL PROPERTY of LA CAIXA BANK.
>
> We need your colaboration for stopping this fraud, getting offline the fraudulent website.
>
> We keep waiting for your feedback against this incident.
>
> If you need further information please contact our SOC 24/7 at +34 91 754 xxxx / xxxx.
>
> Best regards.
>
>
> ------------------------------------------------------------
> ANTI-FRAUD Command Center
>
> Antiphishing Services
> SOC - Telefonica Empresas
>
> Tlf: +34 91 754 xxxx /xxxx
> Fax: +34 91 181 xxxx
> Email: _phishing_at_telefonica.es_
>
PD. Cómo no se cómo se edita la entrada, lo puse aquí.
Nota de admin: se han borrado las últimas cifras de teléfonos a pedido de Telefónica, que pedía el borrado de éste y otro comentario (al cuál nos hemos negado)
Todavía no me han contestado el correo, pero como podeis ver, sí que me han incluído en las listas de phishing y malware, y los navegadores que usan estas BD muestran algo como lo siguiente (Firefox/Iceweasel en el ejemplo):
Incluso mi hosting me abrió un ticket diciéndome que el site fue hackeado. En fin, seguiremos informando.
Finalmente y para terminar con el asunto, he tenido un intercambio de correos tanto con el personal de Telefónica como con mi proveedor de hosting (OVH) y voy a tener que "descolgar" la PoC por lo que ellos dicen que es un abuso de marca contra la entidad bancaria. Si no surge mayor inconveniente, lo quitaré en breve, así que quien le quiera echar un vistazo... que aproveche
Y si alguien quiere poder seguir disfrutándola, siempre puede buscarse un hosting gratuito por las Seychelles o algún sitio de similar jurisdicción
Jesulin , ese gran maestro , no lo podia expresar mejor.
IM-PRESIONANTE
Dado que ayer ya quité de modo permanente el enlace de la discordia y así se lo hice saber a la gente de Telefónica, quería dar por zanjado el tema, pero... esta mañana me encuentro (de hecho me avisó un amigo) que mi página estaba baneada en más de la mitad de los dns de los ISP's de España
Acabo de dejar recado en Telefónica y, a pesar de haber algunas intermitencias, parece que la cosa empieza a funcionar...
#17 En vaya fregado te has metido. Y todo por intentar poner un ejemplo para que la gente aprenda, algo muy positivo ya que para protegerte de algo lo mejor es conocerlo a fondo.
Una lástima que se haya llegado a estas situaciones surrealistas donde el simple hecho de hablar de algo te convierta en una especie de terrorista digital.
Suerte y que acabe pronto todo este estropicio que han hecho los ISPs.