Archivo categoría Correos

Pishing de PayPal

Este correo lo recibi como spam a mi cuenta de Gmail.

En el correo avisan al usuario sobre cambios en los terminos de servicio de PayPal, al final lo invitan a leer los nuevos terminos de servicio que amablemente adjuntaron al correo en un archivo HTML.

La pagina es el codigo copiado del login de PayPay directo del original, pero dentro del codigo HTML se encuentran unas cadenas codificadas que se agregan a la pagina al abrirse:

Javascript

Agregue “<textarea>” y “</textarea>” a la cadena para ver el dexto descodificado en ves de que se agregara a la pagina, y este fue el resultado:

ss034

Con areas de texto

 El Javascript agrega nuevas etiquetas <form> y </form> con nueva informacion para que una ves llenados los datos sean enviados a una direccion diferente a la verdadera donde ellos capturan tus datos.

No llenen formularios que reciban por correo. Siempre revizen la barra de direcciones para asegurarse queestan en la pagina verdadera.


1 Comentario

Phishing de Facebook

Ahora esta muy de moda las paginas falsas de Facebook, en la ultima semana me han llegado varios correos al dia con el mismo mensaje, todos provenientes de diferentes direcciones del tipo update+[Letras aleatorias]@facebookmail.com.

Mensaje Falso de Facebook

Mensaje Falso de Facebook

Dear Facebook user,
In an effort to make your online experience safer and more enjoyable, Facebook will be implementing a new login system that will affect all Facebook users. These changes will offer new features and increased account security.
Before you are able to use the new login system, you will be required to update your account.
Click here to update your account online now.
If you have any questions, reference our New User Guide.
Thanks,
The Facebook Team

Todos llevan a una pagina falsa de este tipo:

http://www.facebook.com.tyqsazy.co.uk/global_directory/MyA=ccount.php?ref=3D…

Noten que el dominio empieza con www.facebook.com pero el dominio real es tyqsazy.co.uk, asi que al ingresar sus datos en esa pagina su cuenta puede ser robada, sus datos privados podran ser vistos por cualquiera que haya hecho esa pagina falsa.

Por el momento estos correos son borrados automaticamente por Gmail. Y las paginas falsas ya son detectadas como phishing por Firefox.

13 Comentarios

Que es el AXTER?

Este es el correo recibido:

Asunto: FW: no manchen YA ESTAN EN CHIHUAHUA!!‏

Es el relato de un caso real que sucedió la semana pasada y que un amigo lo está compartiendo:

*Sucedió!! la semana pasada: Me llego este mensaje y me pesa en mi conciencia no habérselos contado. A una amiga mía la durmieron en el baño de Cinemark y le robaron todo y no recuerda nada, solo que una Sra. le dio a probar perfume.
También yo fui abordado ayer en la tarde cerca de las 3:30 PM en el estacionamiento del Sam´s por dos hombres que me preguntaron cuál era el tipo de perfume que yo usaba. Luego me preguntaron si me gustaría probar un tipo de perfume sensacional que ellos estaban vendiendo a un precio de oferta.
Probablemente yo habría aceptado si no hubiese recibido este e-mail, algunas semanas atrás, avisándome sobre EL GOLPE DEL PERFUME.
Los hombres permanecieron entre los autos estacionados, imagino que esperando que alguien más apareciese. Pare a una señora que iba en dirección a ellos y la previne, me habían avisado que en los centros comerciales o estacionamientos hay gente que te abordan para ofrecerte OLER EL PERFUME que estaban vendiendo pero que en realidad NO es perfume, ES AXTER. Cuando lo hueles te desmayas y aprovechan para robarte todo lo que llevas de valor.
POR FAVOR: Copia este mensaje y Envíalo a tus amistades ya que están operando en todas partes.
POR FAVOR: Envía esto a todas las mujeres en tu lista y pídeles pasarlo. Ah, Ojo, no es chiste! Por favor envía esto también a los hombres… ellos pueden decirle a sus seres queridos.
ASÍ PODREMOS ENTRE TODOS EVITAR MUCHAS TRAGEDIAS… Y DE ALGUNA FORMA CONTRIBUIR PARA, POR LO MENOS, CORTARLE UN POCO LAS ALAS A LA DELINCUENCIA!

Bueno despues de leer este churro tengo 2 opiniones:

  • No hay ninguna cosa conocida como axter.
  • La delincuencia en Chihuahua ya es tan grave que los delincuentes no se tomaran la molestia de ir a conseguir drogas. Llegan te golpean y/o disparan y se acabo.

Haciendo un poco de investigacion, lo mas parecido al axter que encontre es algo llamado Escopolamina, aqui algo de informacion de wikipedia:

La escopolamina es un alcaloide tropánico que se encuentra como metabolito secundario de plantas en la familia de las solanáceas…

Una sobredosis por escopolamina puede causar delirio, y otras psicosis, parálisis, estupor y la muerte.

La escopolamina, no es una sustancia que puede ser absorbida por la vía dérmica a menos que haya fricción en el proceso y que además se trate de una cantidad importante de droga, por lo que es prácticamente imposible el mito de las tarjetas telefónicas y los volantes que entregan los repartidores en la calle.

A través de las vías respiratorias sólo pueden inhalarse 10 mg de la sustancia, mientras que la dosis tóxica se ubica en los 100 mg, aproximadamente.

La conducta delictiva típica consiste en administrar la escopolamina disolviéndola en bebidas, alimentos, o mezclando con tabaco en cigarrillos aliñados, ya que a través del tracto gastrointestinal y la inhalación de humo o gases es como más rápidamente ocurre la absorción.

Asi que segun la informacion de la wikipedia, lo poco que podrias inhalar de una muestra de perfume no seria suficiente.

Estas cadenas que se difunden por correo son la mayoria de las veces falsas, asi que hagale un favor a sus contactos y amigos no reenvie estos correos, lo unico que hacen es asustar y confundir a la gente.

38 Comentarios

Phishing Banco Bradesco

Correo recibido:

Asunto: Navegue com mais segurança
De: Bradesco S/A (segurancadainformacao@bradescoseguranca.com)
Mensaje:
Prezado Cliente
O Bradesco trabalha continuamente para manter o mais alto nível de segurança em suas transações contábeis. Por isso, disponibilizamos o Componente de Segurança para instalação em seu computador.
Ao utilizar o Componente de Segurança Bradesco, o Cliente agrega mais segurança às transações efetuadas por meio do Bradesco Internet Banking, pois esse dispositivo somente poderá ser acionado pelo cliente.
1. Descrição. O Componente de Segurança é um software acoplado ao seu navegador para ampliar suas funções de segurança, na realização de transações contábeis no Canal Bradesco Internet Banking.
2. Finalidade. O Componente de Segurança tem por finalidade atuar na detecção/inibição de softwares maliciosos, a exemplo do vírus cavalo-de-tróia, usados para capturar as informações inseridas por meio do teclado do computador convencional e virtual, durante o acesso ao Bradesco Internet Banking e monitoramento/armazenamento de informações do hardware (dados criptografados não contendo informações pessoais) do cliente utilizado para identificação da origem do acesso.
3. Funcionamento. Com a conclusão da instalação, o Componente de Segurança terá sua ativação inicializada quando da utilização do produto Bradesco Internet Banking, não sendo válido para outros sites. O Componente não elimina as eventuais vulnerabilidades que possam existir nos computadores dos usuários do produto.
4. Instalação/ Atualização. Quando o sistema identificar que o Componente de Segurança não está instalado em seu computador, será enviado um e-mail com um link para download do software.
As atualizações do Componente de Segurança, serão efetuadas após a conclusão da instalação (próximo acesso) caso haja necessidade e, serão executadas automaticamente sem que haja interferência na navegação.
Para efetuar a instalação, clique em Instale já.
Obs: As contas dos Titulares (1º/2º/3º) estarão automaticamente associadas.

El mensaje dice que le han enviado un Componente de Seguridad para que instale en su computadora.

Describen el objetivo, funcionamiento y las instrucciones para instalar dicho Componente de Seguridad.

Pero el enlace no lleva a la pagina oficial, lleva a otra pagina:

http://p######s-world.com/www.bradescoseguranca.com.br/module.php?pId=651028

El archivo descargado es un ejecutable detectado como un Win32/Spy.Banker.RST trojan

Win32/Spy.Banker.RST trojan

Win32/Spy.Banker.RST trojan

2 Comentarios

Distribuyendo malware con videos pornograficos

A la hora de distribuir Malware (software malicioso) entre mas gente resulte afectada es mejor, por eso siempre disfrazan los correos de cosas interesantes que la mayoria de la gente abriria, en este caso pornografia:

ss013

Los enlaces de descarga para el video llevan a otro sitio que esta siendo usado para guardar dicho software (El sitio ya fue contactado acerca de esto).

VideoSinCensura.wma.exe

VideoSinCensura.wma.exe

La descarga esta disfrazada como un .wma (Archivo de sonido de Windows) creo que se les olvido que los de video son .wmv pero bueno… la ultima extension del archivo, que es la que en realidad cuenta, es .exe que son los Archivos ejecutables.

Por el momento este archivo no es detectado por mi antivirus.

No hay Comentarios

Phishing de Abbey

Este correo intenta robar contraseñas de los clientes de la compañia Abbey:

Correo phishing de Abbey

Correo phishing de Abbey

El correo dice provenir de abbey.com, pero los enlaces llevan a una pagina falsa alojado en otro dominio:

Pagina falsa de abby.com

Pagina falsa de abbey.com

El dueño del sitio afectado ha sido contactado, esperemos que haga algo pronto.

No hay Comentarios

Fraude recargas Telcel

Este es un correo anunciando una promocion de Recargar tu saldo por internet para recibir doble saldo. Desde el principio se ve que es falso, ya que el correo lo envio supuestamente hi5. Como ya habia mencionado antes, mandan de direcciones conocidas para evitar que su cliente de correo lo filtre como basura.

Correo recibido

Correo recibido

En la pagina solo hay un formulario para pagar, por favor nadie ponga sus datos, solo les robaran el dinero de su tarjeta de credito.

Pagina pirata

Pagina pirata

Otro signo de que la pagina es falsa es que todos los enlaces llevan a telcel.com, siendo que la pagina esta en un dominio distinto. Esto se usa para simular que la pagina “funciona” y es la original.

Al momento de escribir esta entrada la pagina es detectada por Firefox como peligrosa, por Internet Explorer aun no.

Hasta donde yo se, Telcel nisiquiera tiene un servicio de recarga en linea y si tuviera uno lo tendria dentro de su pagina oficial, que es www.telcel.com.

La empresa donde esta registrado el dominio y la que esta alojando la pagina han sido contactados para reportar este sitio, espero que hagan algo al respecto cuanto antes.

Edicion: La pagina ya ha sido desactivada, aqui la respuesta de Netfirms:

13 de octubre de 2009 07:08

Hello,
We have suspended the domain name in question.  Thank you for notifying us of this phishing site.

Regards,
Chris
www.netfirms.com
Netfirms Abuse Department

No hay Comentarios

Fraudes al renovar dominios (ISP Renewal)

Como muchos saben, los dominios se contratan por periodos de 1 a 10 años, cuando este periodo esta por acabarse hay que pagar de nuevo para renovar el contrato y que el dominio siga siendo tuyo.

Esta compañia ISP Renewal, manda correos masivos a dueños cuyos dominios estan por expirar ofreciendo el servicio de renovarlo con ellos.

La clara estafa esta en que nunca te pide una comprobacion de que eres el dueño, te deja renovar cualquier dominio, ya sea inexistente, de otro propietario, incluso puedes renovar su propio dominio -.-

Sitio fraudulento

Sitio fraudulento

El precio promedio de un dominio esta alrededor de €7 y estos tipos cobran €60! esto en si ya es una estafa, pero teniendo los datos de tu tarjeta de credito nada les impide sacar mucho mas dinero que solo €60.

Solo renueven su dominio en la pagina oficial donde lo registraron.

92 Comentarios

Postales falsas de Hi5 – cerdin.exe

Mensaje recibido:

correo recibido

El enlace descarga un archivo ejecutable cuyo nombre original es cerdin.exe, al parecer este programa al ser ejecutado crea otro llamado update1.exe en la carpeta c:\windows\ y agrega una entrada en el registro, para ejecutarse cada vez que se inicie el equipo.

Aparte de eso, interfiere de alguna forma con paginas de algunos bancos, que se pueden ver entre las lineas del codigo:

bancos

Esto lo hace probablemente modificando el archivo HOSTS.

El servidor vulnerado tiene Joomla instalado, un conocido sistema para manejo de contenidos, pero por lo que he visto, no mucha gente sabe configurarlo bien, la mayoria de correos de este tipo que me llegan alojan sus programas en sitios que tambien usaban Joomla.

Actualicen su software, para parchar todos esos huecos de seguridad que hayan sido encontrados.

No hay Comentarios

Noticias Falsas – Heraldo de Mexico

Asunto: Dejan Libre al Hijo del Secretario de Hacienda (Agustin Carstens) por Influyente..

Captura del correo:

Captura del Correo

Vamos a revizar los enlaces, que no son de la pagina de heraldo.com.mx, como dice el correo, si no de otro servidor que seguramente no estaba bien asegurado, o usaba algun software desactualizado.

El enlace para “ver el video completo” lleva a la descarga de un archivo ejecutable disfrazado de video (mpeg), por el momento mi antivirus no lo detecta como virus o algo malo, pero seguramente es por que es nuevo.

ejecutable

El ejecutable, es un archivo RAR autoextraible, dentro del cual hay un archivo por lotes llamado b3.bat

b3.bat

Este archivo por lotes modifica el archivo HOSTS de tu computadora, para redireccionar las paginas de Banamex y Bancomer, y al final abre un video de YouTube para no parecer sospechoso.

Hasta ahora no pasa nada malo, pero cuando entres a la pagina de Banamex o Bancomer, en realidad estaras accesando a paginas hechas por estos estafadores, en las cuales pueden robar tus datos, para despues tener acceso a tu cuenta de banco.

Este metodo hace muy dificil que te enteres que estas en una pagina falsa, tu explorador mostrara banamex.com, ya que el archivo HOSTS la esta redireccionando.

Reviza tu archivo HOSTS de vez en cuando para cerciorarte que no ha sido modificado, hay ciertos antivirus que protegen el archivo de modificaciones, bien por ti si tienes uno.

Viendo el lado bueno, la mayoria de los Mexicanos no usa internet para acceder a su banco, asi que solo unos pocos son realmente afectados por estos, pero esos pocos pueden perder todo su dinero de un momento a otro.

1 Comentario