Archivo categoría Phishing
Pishing de PayPal
Este correo lo recibi como spam a mi cuenta de Gmail.
En el correo avisan al usuario sobre cambios en los terminos de servicio de PayPal, al final lo invitan a leer los nuevos terminos de servicio que amablemente adjuntaron al correo en un archivo HTML.
La pagina es el codigo copiado del login de PayPay directo del original, pero dentro del codigo HTML se encuentran unas cadenas codificadas que se agregan a la pagina al abrirse:
Agregue “<textarea>” y “</textarea>” a la cadena para ver el dexto descodificado en ves de que se agregara a la pagina, y este fue el resultado:
El Javascript agrega nuevas etiquetas <form> y </form> con nueva informacion para que una ves llenados los datos sean enviados a una direccion diferente a la verdadera donde ellos capturan tus datos.
No llenen formularios que reciban por correo. Siempre revizen la barra de direcciones para asegurarse queestan en la pagina verdadera.
Phishing de Facebook
Ahora esta muy de moda las paginas falsas de Facebook, en la ultima semana me han llegado varios correos al dia con el mismo mensaje, todos provenientes de diferentes direcciones del tipo update+[Letras aleatorias]@facebookmail.com.
Dear Facebook user,In an effort to make your online experience safer and more enjoyable, Facebook will be implementing a new login system that will affect all Facebook users. These changes will offer new features and increased account security.
Before you are able to use the new login system, you will be required to update your account.
Click here to update your account online now.If you have any questions, reference our New User Guide.Thanks,
The Facebook Team
Todos llevan a una pagina falsa de este tipo:
http://www.facebook.com.tyqsazy.co.uk/global_directory/MyA=ccount.php?ref=3D…
Noten que el dominio empieza con www.facebook.com pero el dominio real es tyqsazy.co.uk, asi que al ingresar sus datos en esa pagina su cuenta puede ser robada, sus datos privados podran ser vistos por cualquiera que haya hecho esa pagina falsa.
Por el momento estos correos son borrados automaticamente por Gmail. Y las paginas falsas ya son detectadas como phishing por Firefox.
Phishing Banco Bradesco
Correo recibido:
Asunto: Navegue com mais segurança
De: Bradesco S/A (segurancadainformacao@bradescoseguranca.com)
Mensaje:
Prezado Cliente
O Bradesco trabalha continuamente para manter o mais alto nível de segurança em suas transações contábeis. Por isso, disponibilizamos o Componente de Segurança para instalação em seu computador.
Ao utilizar o Componente de Segurança Bradesco, o Cliente agrega mais segurança às transações efetuadas por meio do Bradesco Internet Banking, pois esse dispositivo somente poderá ser acionado pelo cliente.
1. Descrição. O Componente de Segurança é um software acoplado ao seu navegador para ampliar suas funções de segurança, na realização de transações contábeis no Canal Bradesco Internet Banking.
2. Finalidade. O Componente de Segurança tem por finalidade atuar na detecção/inibição de softwares maliciosos, a exemplo do vírus cavalo-de-tróia, usados para capturar as informações inseridas por meio do teclado do computador convencional e virtual, durante o acesso ao Bradesco Internet Banking e monitoramento/armazenamento de informações do hardware (dados criptografados não contendo informações pessoais) do cliente utilizado para identificação da origem do acesso.
3. Funcionamento. Com a conclusão da instalação, o Componente de Segurança terá sua ativação inicializada quando da utilização do produto Bradesco Internet Banking, não sendo válido para outros sites. O Componente não elimina as eventuais vulnerabilidades que possam existir nos computadores dos usuários do produto.
4. Instalação/ Atualização. Quando o sistema identificar que o Componente de Segurança não está instalado em seu computador, será enviado um e-mail com um link para download do software.
As atualizações do Componente de Segurança, serão efetuadas após a conclusão da instalação (próximo acesso) caso haja necessidade e, serão executadas automaticamente sem que haja interferência na navegação.
Para efetuar a instalação, clique em Instale já.
Obs: As contas dos Titulares (1º/2º/3º) estarão automaticamente associadas.
El mensaje dice que le han enviado un Componente de Seguridad para que instale en su computadora.
Describen el objetivo, funcionamiento y las instrucciones para instalar dicho Componente de Seguridad.
Pero el enlace no lleva a la pagina oficial, lleva a otra pagina:
http://p######s-world.com/www.bradescoseguranca.com.br/module.php?pId=651028
El archivo descargado es un ejecutable detectado como un Win32/Spy.Banker.RST trojan
Phishing de Abbey
Este correo intenta robar contraseñas de los clientes de la compañia Abbey:
El correo dice provenir de abbey.com, pero los enlaces llevan a una pagina falsa alojado en otro dominio:
El dueño del sitio afectado ha sido contactado, esperemos que haga algo pronto.
Fraude recargas Telcel
Por admin - Correos, Phishing, Telefono/Celulares - 12/octubre/2009
Este es un correo anunciando una promocion de Recargar tu saldo por internet para recibir doble saldo. Desde el principio se ve que es falso, ya que el correo lo envio supuestamente hi5. Como ya habia mencionado antes, mandan de direcciones conocidas para evitar que su cliente de correo lo filtre como basura.
En la pagina solo hay un formulario para pagar, por favor nadie ponga sus datos, solo les robaran el dinero de su tarjeta de credito.
Otro signo de que la pagina es falsa es que todos los enlaces llevan a telcel.com, siendo que la pagina esta en un dominio distinto. Esto se usa para simular que la pagina “funciona” y es la original.
Al momento de escribir esta entrada la pagina es detectada por Firefox como peligrosa, por Internet Explorer aun no.
Hasta donde yo se, Telcel nisiquiera tiene un servicio de recarga en linea y si tuviera uno lo tendria dentro de su pagina oficial, que es www.telcel.com.
La empresa donde esta registrado el dominio y la que esta alojando la pagina han sido contactados para reportar este sitio, espero que hagan algo al respecto cuanto antes.
Edicion: La pagina ya ha sido desactivada, aqui la respuesta de Netfirms:
13 de octubre de 2009 07:08
Hello,
We have suspended the domain name in question. Thank you for notifying us of this phishing site.Regards,
Chris
www.netfirms.com
Netfirms Abuse Department