Pishing de PayPal

Este correo lo recibi como spam a mi cuenta de Gmail.

En el correo avisan al usuario sobre cambios en los terminos de servicio de PayPal, al final lo invitan a leer los nuevos terminos de servicio que amablemente adjuntaron al correo en un archivo HTML.

La pagina es el codigo copiado del login de PayPay directo del original, pero dentro del codigo HTML se encuentran unas cadenas codificadas que se agregan a la pagina al abrirse:

Javascript

Agregue “<textarea>” y “</textarea>” a la cadena para ver el dexto descodificado en ves de que se agregara a la pagina, y este fue el resultado:

ss034

Con areas de texto

 El Javascript agrega nuevas etiquetas <form> y </form> con nueva informacion para que una ves llenados los datos sean enviados a una direccion diferente a la verdadera donde ellos capturan tus datos.

No llenen formularios que reciban por correo. Siempre revizen la barra de direcciones para asegurarse queestan en la pagina verdadera.


1 Comentario

Phishing de Facebook

Ahora esta muy de moda las paginas falsas de Facebook, en la ultima semana me han llegado varios correos al dia con el mismo mensaje, todos provenientes de diferentes direcciones del tipo update+[Letras aleatorias]@facebookmail.com.

Mensaje Falso de Facebook

Mensaje Falso de Facebook

Dear Facebook user,
In an effort to make your online experience safer and more enjoyable, Facebook will be implementing a new login system that will affect all Facebook users. These changes will offer new features and increased account security.
Before you are able to use the new login system, you will be required to update your account.
Click here to update your account online now.
If you have any questions, reference our New User Guide.
Thanks,
The Facebook Team

Todos llevan a una pagina falsa de este tipo:

http://www.facebook.com.tyqsazy.co.uk/global_directory/MyA=ccount.php?ref=3D…

Noten que el dominio empieza con www.facebook.com pero el dominio real es tyqsazy.co.uk, asi que al ingresar sus datos en esa pagina su cuenta puede ser robada, sus datos privados podran ser vistos por cualquiera que haya hecho esa pagina falsa.

Por el momento estos correos son borrados automaticamente por Gmail. Y las paginas falsas ya son detectadas como phishing por Firefox.

3 Comentarios

Que es el AXTER?

Este es el correo recibido:

Asunto: FW: no manchen YA ESTAN EN CHIHUAHUA!!‏

Es el relato de un caso real que sucedió la semana pasada y que un amigo lo está compartiendo:

*Sucedió!! la semana pasada: Me llego este mensaje y me pesa en mi conciencia no habérselos contado. A una amiga mía la durmieron en el baño de Cinemark y le robaron todo y no recuerda nada, solo que una Sra. le dio a probar perfume.
También yo fui abordado ayer en la tarde cerca de las 3:30 PM en el estacionamiento del Sam´s por dos hombres que me preguntaron cuál era el tipo de perfume que yo usaba. Luego me preguntaron si me gustaría probar un tipo de perfume sensacional que ellos estaban vendiendo a un precio de oferta.
Probablemente yo habría aceptado si no hubiese recibido este e-mail, algunas semanas atrás, avisándome sobre EL GOLPE DEL PERFUME.
Los hombres permanecieron entre los autos estacionados, imagino que esperando que alguien más apareciese. Pare a una señora que iba en dirección a ellos y la previne, me habían avisado que en los centros comerciales o estacionamientos hay gente que te abordan para ofrecerte OLER EL PERFUME que estaban vendiendo pero que en realidad NO es perfume, ES AXTER. Cuando lo hueles te desmayas y aprovechan para robarte todo lo que llevas de valor.
POR FAVOR: Copia este mensaje y Envíalo a tus amistades ya que están operando en todas partes.
POR FAVOR: Envía esto a todas las mujeres en tu lista y pídeles pasarlo. Ah, Ojo, no es chiste! Por favor envía esto también a los hombres… ellos pueden decirle a sus seres queridos.
ASÍ PODREMOS ENTRE TODOS EVITAR MUCHAS TRAGEDIAS… Y DE ALGUNA FORMA CONTRIBUIR PARA, POR LO MENOS, CORTARLE UN POCO LAS ALAS A LA DELINCUENCIA!

Bueno despues de leer este churro tengo 2 opiniones:

  • No hay ninguna cosa conocida como axter.
  • La delincuencia en Chihuahua ya es tan grave que los delincuentes no se tomaran la molestia de ir a conseguir drogas. Llegan te golpean y/o disparan y se acabo.

Haciendo un poco de investigacion, lo mas parecido al axter que encontre es algo llamado Escopolamina, aqui algo de informacion de wikipedia:

La escopolamina es un alcaloide tropánico que se encuentra como metabolito secundario de plantas en la familia de las solanáceas…

Una sobredosis por escopolamina puede causar delirio, y otras psicosis, parálisis, estupor y la muerte.

La escopolamina, no es una sustancia que puede ser absorbida por la vía dérmica a menos que haya fricción en el proceso y que además se trate de una cantidad importante de droga, por lo que es prácticamente imposible el mito de las tarjetas telefónicas y los volantes que entregan los repartidores en la calle.

A través de las vías respiratorias sólo pueden inhalarse 10 mg de la sustancia, mientras que la dosis tóxica se ubica en los 100 mg, aproximadamente.

La conducta delictiva típica consiste en administrar la escopolamina disolviéndola en bebidas, alimentos, o mezclando con tabaco en cigarrillos aliñados, ya que a través del tracto gastrointestinal y la inhalación de humo o gases es como más rápidamente ocurre la absorción.

Asi que segun la informacion de la wikipedia, lo poco que podrias inhalar de una muestra de perfume no seria suficiente.

Estas cadenas que se difunden por correo son la mayoria de las veces falsas, asi que hagale un favor a sus contactos y amigos no reenvie estos correos, lo unico que hacen es asustar y confundir a la gente.

38 Comentarios

Phishing Banco Bradesco

Correo recibido:

Asunto: Navegue com mais segurança
De: Bradesco S/A (segurancadainformacao@bradescoseguranca.com)
Mensaje:
Prezado Cliente
O Bradesco trabalha continuamente para manter o mais alto nível de segurança em suas transações contábeis. Por isso, disponibilizamos o Componente de Segurança para instalação em seu computador.
Ao utilizar o Componente de Segurança Bradesco, o Cliente agrega mais segurança às transações efetuadas por meio do Bradesco Internet Banking, pois esse dispositivo somente poderá ser acionado pelo cliente.
1. Descrição. O Componente de Segurança é um software acoplado ao seu navegador para ampliar suas funções de segurança, na realização de transações contábeis no Canal Bradesco Internet Banking.
2. Finalidade. O Componente de Segurança tem por finalidade atuar na detecção/inibição de softwares maliciosos, a exemplo do vírus cavalo-de-tróia, usados para capturar as informações inseridas por meio do teclado do computador convencional e virtual, durante o acesso ao Bradesco Internet Banking e monitoramento/armazenamento de informações do hardware (dados criptografados não contendo informações pessoais) do cliente utilizado para identificação da origem do acesso.
3. Funcionamento. Com a conclusão da instalação, o Componente de Segurança terá sua ativação inicializada quando da utilização do produto Bradesco Internet Banking, não sendo válido para outros sites. O Componente não elimina as eventuais vulnerabilidades que possam existir nos computadores dos usuários do produto.
4. Instalação/ Atualização. Quando o sistema identificar que o Componente de Segurança não está instalado em seu computador, será enviado um e-mail com um link para download do software.
As atualizações do Componente de Segurança, serão efetuadas após a conclusão da instalação (próximo acesso) caso haja necessidade e, serão executadas automaticamente sem que haja interferência na navegação.
Para efetuar a instalação, clique em Instale já.
Obs: As contas dos Titulares (1º/2º/3º) estarão automaticamente associadas.

El mensaje dice que le han enviado un Componente de Seguridad para que instale en su computadora.

Describen el objetivo, funcionamiento y las instrucciones para instalar dicho Componente de Seguridad.

Pero el enlace no lleva a la pagina oficial, lleva a otra pagina:

http://p######s-world.com/www.bradescoseguranca.com.br/module.php?pId=651028

El archivo descargado es un ejecutable detectado como un Win32/Spy.Banker.RST trojan

Win32/Spy.Banker.RST trojan

Win32/Spy.Banker.RST trojan

2 Comentarios

Distribuyendo malware con videos pornograficos

A la hora de distribuir Malware (software malicioso) entre mas gente resulte afectada es mejor, por eso siempre disfrazan los correos de cosas interesantes que la mayoria de la gente abriria, en este caso pornografia:

ss013

Los enlaces de descarga para el video llevan a otro sitio que esta siendo usado para guardar dicho software (El sitio ya fue contactado acerca de esto).

VideoSinCensura.wma.exe

VideoSinCensura.wma.exe

La descarga esta disfrazada como un .wma (Archivo de sonido de Windows) creo que se les olvido que los de video son .wmv pero bueno… la ultima extension del archivo, que es la que en realidad cuenta, es .exe que son los Archivos ejecutables.

Por el momento este archivo no es detectado por mi antivirus.

No hay Comentarios

Phishing de Abbey

Este correo intenta robar contraseñas de los clientes de la compañia Abbey:

Correo phishing de Abbey

Correo phishing de Abbey

El correo dice provenir de abbey.com, pero los enlaces llevan a una pagina falsa alojado en otro dominio:

Pagina falsa de abby.com

Pagina falsa de abbey.com

El dueño del sitio afectado ha sido contactado, esperemos que haga algo pronto.

No hay Comentarios

Fraude recargas Telcel

Este es un correo anunciando una promocion de Recargar tu saldo por internet para recibir doble saldo. Desde el principio se ve que es falso, ya que el correo lo envio supuestamente hi5. Como ya habia mencionado antes, mandan de direcciones conocidas para evitar que su cliente de correo lo filtre como basura.

Correo recibido

Correo recibido

En la pagina solo hay un formulario para pagar, por favor nadie ponga sus datos, solo les robaran el dinero de su tarjeta de credito.

Pagina pirata

Pagina pirata

Otro signo de que la pagina es falsa es que todos los enlaces llevan a telcel.com, siendo que la pagina esta en un dominio distinto. Esto se usa para simular que la pagina “funciona” y es la original.

Al momento de escribir esta entrada la pagina es detectada por Firefox como peligrosa, por Internet Explorer aun no.

Hasta donde yo se, Telcel nisiquiera tiene un servicio de recarga en linea y si tuviera uno lo tendria dentro de su pagina oficial, que es www.telcel.com.

La empresa donde esta registrado el dominio y la que esta alojando la pagina han sido contactados para reportar este sitio, espero que hagan algo al respecto cuanto antes.

Edicion: La pagina ya ha sido desactivada, aqui la respuesta de Netfirms:

13 de octubre de 2009 07:08

Hello,
We have suspended the domain name in question.  Thank you for notifying us of this phishing site.

Regards,
Chris
www.netfirms.com
Netfirms Abuse Department

No hay Comentarios

Fraudes al renovar dominios (ISP Renewal)

Como muchos saben, los dominios se contratan por periodos de 1 a 10 años, cuando este periodo esta por acabarse hay que pagar de nuevo para renovar el contrato y que el dominio siga siendo tuyo.

Esta compañia ISP Renewal, manda correos masivos a dueños cuyos dominios estan por expirar ofreciendo el servicio de renovarlo con ellos.

La clara estafa esta en que nunca te pide una comprobacion de que eres el dueño, te deja renovar cualquier dominio, ya sea inexistente, de otro propietario, incluso puedes renovar su propio dominio -.-

Sitio fraudulento

Sitio fraudulento

El precio promedio de un dominio esta alrededor de €7 y estos tipos cobran €60! esto en si ya es una estafa, pero teniendo los datos de tu tarjeta de credito nada les impide sacar mucho mas dinero que solo €60.

Solo renueven su dominio en la pagina oficial donde lo registraron.

No hay Comentarios

Robo de contraseñas de Runescape (ModApp.exe)

YouTube es el mayor sitio web de vídeos en internet, usado por millones de personas, pero tambien usado por spammers anunciando sus productos o sitios web, asi como estafadores tratando de atraer gente a sus trampas.

El presente ejemplo es para robar contraseñas de Runescape, un juego online con miles de jugadores. Pero se usa para muchos otros juegos similares, los llamados MMORPG (Juegos de Rol Multijugador Masivos en Línea por sus siglas en ingles) como World of Warcraft, Guild Wars, Lineage, Ragnarok, Maple Story y muchos otros.

Si bien muchas personas pueden decir “es solo un juego, a quien le importa”, la realidad es que hay un grandisimo negocio en torno a los juegos online, muchas cuentas tienen estado Premium por el cual se paga una cuota mensual, esas cuentas pueden ser vendidas, robar o vender  los objetos que tengan los personajes por dinero real, etc.

Aunque este ejemplo es relacionado a los juegos, sigue siendo un fraude, y el mismo metodo puede ser usado para otros servicios como bancos, etc.

Estos son dos mensajes en uno de los tantos videos de Youtube:

Mensajes en Youtube

Mensajes en Youtube

El primer mensaje llevaba a una pagina falsa de Runescape donde piden el nombre de usuario y contraseña de los usuarios, no tengo la foto por que la pagina ya esta desactivada.

El segundo mensaje invita al usuario a ser moderador del juego (desde aqui deberian de sospechar que es trampa), el enlace lleva a un sitio de alojamiento de archivos, la descarga es un programa llamado ModApp.exe.

Despues de un exhaustivo analisis de este programa (abrirlo en el bloc de notas y ver que me encuentro jaja) se determina que esta hecho en Visual Basic y trabaja de la siguiente manera:

Cuando el usuario escribe sus datos y da click en Submit se envian a una cuenta de correo, en la cual el estafador podra ver sus datos mas tarde.

Al abrirlo se abre el formulario:

ss014

El formulario pide el nombre de usuario, la contraseña del usuario y otros cuantos datos para no verse tan Solo quiero tu contraseña.

Entre las lineas del programa se hallan estas cadenas, que son la direccion de correo a la que sera enviado el mensaje, la direccion de correo desde la cual sera enviado el mensaje, incluso la contraseña para accesar a esa cuenta y el servidor SMTP que sera usado.

Datos dentro del programa

Datos dentro del programa

Lo que hace el programa es accesar a la cuenta de Gmail y enviar un correo con los datos a la cuenta de Hotmail.

Pues teniendo su contraseña tuve que entrar al correo y explorar un poco :D, en la carpeta de correos enviados habia hasta el momento 52 correos enviados, lo bueno es que la mayoria de la gente no cayo en la trampa y la mayoria solo escribio datos falsos, pero unos pocos parece que si escribieron su contraseña real.

Como un buen ciudadano cambie las contraseñas de ambos correos para que no pueda seguir estafando gente con ellas.

ss022 ss023

Hay que hablar con los niños y jovenes que usan estos servicios y explicarles que no todo lo que ven es cierto, y que algunas ocasiones pueden salir perjudicados.

10 Comentarios

Postales falsas de Hi5 – cerdin.exe

Mensaje recibido:

correo recibido

El enlace descarga un archivo ejecutable cuyo nombre original es cerdin.exe, al parecer este programa al ser ejecutado crea otro llamado update1.exe en la carpeta c:\windows\ y agrega una entrada en el registro, para ejecutarse cada vez que se inicie el equipo.

Aparte de eso, interfiere de alguna forma con paginas de algunos bancos, que se pueden ver entre las lineas del codigo:

bancos

Esto lo hace probablemente modificando el archivo HOSTS.

El servidor vulnerado tiene Joomla instalado, un conocido sistema para manejo de contenidos, pero por lo que he visto, no mucha gente sabe configurarlo bien, la mayoria de correos de este tipo que me llegan alojan sus programas en sitios que tambien usaban Joomla.

Actualicen su software, para parchar todos esos huecos de seguridad que hayan sido encontrados.

No hay Comentarios