Archivo

Posts Tagged ‘phishing’

Correo BBVA falso (phishing)

julio 7, 2011 2 comentarios

Otro caso mediocre de phishing.

El correo llega con el asunto:

“07/07/11 -Estimado cliente, favor de realizar el proceso de verificacion para evitar una futura perdida de datos.”

Desde la dirección Bancomer.com <notificacionbcom@serviciobancomer.com>

Desde ahí ya podemos sospechar que es un engaño dada la dirección del remitente que hasta eso, se rompieron la cabeza pensando en una dirección de remitente. El remitente real es nobody@tank.rack25.net fácilmente identificable al leer el encabezado del correo. El rastreo de la IP de la fuente nos lleva hasta España, para ser más preciso Madrid. ¿Será que allá está el servicio a cliente de Bancomer México? 😉

El contenido del correo es el siguiente:

 

Puede engañar a más de uno, parece el contenido de un correo válido de Bancomer. Sin embargo, al colocar el cursor sobre la dirección supuesta de http://www.Bancomer.com que, por cierto, no debería tener el Bancomer en mayúsculas por simple convención de la gente de sistemas , nos encontramos con una dirección que no tiene nada que ver con Bancomer:

http://xxxxxxxxxxxx.mx/hdznava/100023.html que, aunque el dominio es mexicano, se encuentra en Estados Unidos

Lo único que hace esta página es redireccionar a otra en otro dominio que también está en Estados Unidos

 

Si vemos a dónde nos  lleva en la barra de direcciones notaremos que no tiene nada qué ver con Bancomer. Si hacemos clic en cualquiera de las ligas no llevan a ninguna parte. Las ligas están rotas. Ni siquiera se tomaron la molestia de ligar a la página real de Bancomer.

Ya te imaginas que pasa si introduces tu número de tarjeta y tus claves: Le estás facilitando a un delincuente el acceso a tu cuenta.

 

Ya que colocaste todas tus claves, la página se tarda convenientemente un par de minutos en responder, dándole tiempo para revisar tu cuenta y hacer operaciones fraudulentas.

¿Cómo identificar el  phishing?

1. El contar con un antivirus de verdad ayuda mucho. De verdad me refiero a comprar uno no esas versiones “lite” que puedes descargar gratis, porque eso es precisamente lo que vas a obtener: un antivirus gratis con protección gratis. Aunque hasta el mejor antivirus es falible, aquí con todo y mi antivirus pude abrir el sitio y en el correo sólo me dio una advertencia respecto a las imágenes adjuntas.

2. Verificar el remitente de los correos que te llegan de instituciones bancarias o de cuentas tipo PayPal, Amazon, etc. La dirección debe tener sentido bancomer.com, paypal, amazon, etc. Esto es fácilmente truqueable, pero por lo menos es una pista. Si te es posible, revisa el encabezado del correo, ahí te indica exactamente de dónde viene el correo, en este caso, aunque decía que el correo era de notificacionbcom@serviciobancomer.com el remitente real era nobody@tank.rack25.net. 

3. Verificar las ligas dentro del correo. Éstas aunque muestren una dirección en el texto, al colocar el cursor sobre ellas, se muestra el destino real. Deben apuntar a un dominio que te haga sentido o que conozcas ya. Por ejemplo, esta liga dice www.microsoft.com pero si das clic en ella te lleva a Apple 😉

4. Al entrar a un sitio web donde debas introducir tu usuario y contraseña, revisa que la dirección empiece con https y no sólo con http. Esto quiere decir que estás entrando a un sitio que debió verificar su identidad para poder emitir esa “s” en su dirección, además de que toda la información que entra y sale de esa página, se encuentra cifrada, es decir, viaja en clave y no en claro.

5. Usa el sentido común. Todo el conocimiento y antivirus del mundo pueden ser confundidos o inahbilitados, pero tu sentido común ayuda a librarte de situaciones potenciales de robo de información.

Abur

Anuncios

Gana el Doble de tiempo Aire al Recargar este mes de Mayo‏ – Correo falso

mayo 14, 2009 Deja un comentario

La misma jalada de pelo del post de Wolverine pero ahora buscando que caiga la gente con la oferta del “Doble de tiempo”

090514Telcel

Al hacer clic sobre el sitio lleva a una direción que hospeda una página muy similar en diseño a la actual de Telcel pero que es, sin lugar a dudas, falsa. El incauto que introduzca su información ahí,será robado y quién sabe qué más. Es triste como en tiempos de crisis, en vez de usar el ingenio para ayudar y que el común de la gente esté mejor, se busca aprovecharse y joder más. Al final, tanto el ayudar como el joder, afectarán a todos. ¿Porqué no ayudan? Son entidades que ni vale la pena analizar… patéticas.

Cómo identificar un sitio seguro? Sea el de Telcel o cualquier otro donde pidan datos personales.

1. Las direcciones empieza con https (HyperText Transfer Protocol Secure)

090514https

2. Si es así, también existirá un certificado digital que aparece en forma de candado en la barra de estado inferior. En el Internet Explorer 7 y 8 aparece a la derecha de la dirección Web. (URL)

090514DC

3. La dirección tiene que ver con el sitio. Si es Telcel, evidentemente va a ser http://www.telcel.com y así. No algo como secure.freeghosting.telcel.com

4. Los sitios seguros cuentan con una entidad certificadora que te asegura que el sitio es quien dice ser, en este ejemplo, al hacer clic en el candado, aparece el certificado de PayPal. En el caso de Telcel, debe aparecer el de Telcel.

Con estos enemigos dentro del mismo país y con la gente sin preocuparse por aprender, México seguirá siendo del tercer mundo.

Abur

Cómo identificar postales electrónicas maliciosas

diciembre 27, 2008 1 comentario

122708ecardsEn estas fechas navideñas es común que recibamos tarjetas o postales en nuestro correo electrónico. Hace unos 3 o 4 años era algo completamente común e inofensivo. Ahora, poco a poco los programas maliciosos (malware – malicious software) han ido invadiendo casi todos los servicios electrónicos, incluyendo las tarjetas postales.

Las tarjetas/postales electrónicas son creadas con la tecnología de los sitios Web: Un código HTML, contenedores, un reproductor Java o Flash, etc. En éste código te puedes encontrar:

– Trampas que ejecuten código malicioso con sólo visualizar el correo. Los scripts en el código se han usado en correos de noticias falsas para realizar fraudes por pharming.

– Te direccionan a un sitio en el que te piden descargar un “conector” (plug-in) para poder reproducirlo, mismo que típicamente es un troyano.

– Y más ahora que nunca, te pueden llevar a un sitio phishing donde buscan engañarte para que introduzcas información personal y contraseñas.

Sally Babcock, General Manager y Senior Vice President de American Greetings Interactive menciona en su blog de Tips que los ataques de Phishing usando tarjetas electrónicas son similares a todos los otros tipos de ataques en los que explotan la falta de atención o ignorancia de los usuarios.

¿Cómo identificar las postales que no son genuinas?

  • Borra las tarjetas/postales en las que no existe remitente o donde el remitente eres tú. Cuando te envían una postal, siempre aparece el correo del emisor y su nombre. Cuando aparece tu nombre o tu dirección de correo en el remitente, es un software malicioso el que está generando y enviando los correos desde una computadora infectada y donde tú estás como contacto.
  • Identifica al remitente y la fuente de la tarjeta/postal. Si el equipo de un amigo se encuentra infectado con algún virus cuyo fin es infectar a través de tarjetas/postales electrónicas , es probable que aparezcas en su lista de contactos y te llegue un mensaje como si él te lo hubiera enviado. Entonces necesitas verificar el correo de tu amigo, su nombre y que la fuente tenga sentido. Es decir, si y tu amigo viven en México y te llega una postal de Argentina… ¿no es  un tanto sospechoso?
  • Verifica  los vínculos donde puedes visualizar la tarjeta. Si abres tu correo usando Outlook, Thunderbird o los clientes de correo de Opera o Firefox, en la barra de estatus se muestra la dirección a donde te lleva un vínculo al poser el puntero sobre él. Si el vínculo dice algo como
    http://www.tarjetaschidas.com/349KJLds73ikjuda/feliz_navidad.php
    y en la barra de estatus se visualiza otra dirección distinta a ésta, seguro es falsa la tarjeta/postal.
  • Nunca tengas tu antivirus desactivado ya que él te puede avisar ya sea, al entrar a un sitio falso o al descargar algún archivo infectado.

La mejor protección contra cualquier amenaza informática es el conocimiento 🙂 y por supuesto el imprescindible apoyo de un buen antivirus y un firewall. Si estás usando OS Mac o Linux, estás aún más protegido.

Felices fiestas

    Recarga de Amigo Telcel en línea – Correo falso

    diciembre 14, 2008 10 comentarios

    Ahora llegó un correo que clama ser de Telcel y que, para no variar, busca robar los datos de tarjeta de crédito de aquellos que caigan. La información del mismo a continuación: Título: Obtén más Tiempo Aire Gratis todo diciembre solo con AmigoKit. Remitente: Recargas Telcel <info@hi5.com> Telcel Scam Como siempre, a primera vista nos podría engañar, pero tiene esos “pequeños detalles” que a los escépticos nos  hacen dudar. 1. La tipografía. Telcel no utiliza en sus correos este tipo de fuente. Le da un aire de esos anuncios que contratan los  distribuidores y terceros que, sin ser Telcel, venden planes, teléfonos y accesorios. En este caso, Telcel sería la única entidad que enviaría un correo clamando la recarga de AmigoKit en línea. 2. El logo de VeriSign. Aunque cada vez son más los que están tomando precauciones al hacer transacciones en línea, no todos están familiarizados con las entidades certificadoras en Internet como lo es VeriSign. Luego entonces, se ve muy extraño que  el logo se encuentre directamente en la imagen de la publicidad. Además de que el logo es el anterior. 3. La leyenda “Aceptamos tarjetas de crédito y débito” Ésta sale sobrando. Suena así como localito de Plaza de la Computación. “¡Pásele! ¿Qué está buscando? ¡Aceptamos tarjeta de crédito!” 4. Los logotipos de Visa y Mastercard. Sin proporción y de mala calidad. ¿Y qué pasa con American Express? Fue vetado de Telcel? En la parte más detallada es más evidente que se trata de un intento de fraude mediocre. 1. El remitente es info@hi5.com???? Qué tiene que ver Hi5, la red social chafona y que busca desesperadamente parecerse a  Facebook o MySpace? Además de que revisando el encabezado del correo el remitente real es root@sh-b9.dca2.superb.net. Éste proviene de una cuenta contratada en la empresa superwebhosting en Estados Unidos. 2. El código fuente indica que la imagen se encuentra colgada en un servidor gratuito público de imágenes: Tynipic. 3. El encabezado contiene la sentencia X-PHP script indicando la proveniencia del script con el que se generó y enviaron los correos. Al hacer clic sobre la imagen ésta lleva a un sitio simulando ser el de Telcel, pero que no tiene nada que ver con Telcel. 121408telcel022Los “pequeños detalles”: 1.  El encabezado despliega el logo de “Ideas Telcel” ¿Pues qué no es para Amigo? 2. Tiene también el logo anterior de VeriSign. 3. El sitio no tiene nada que ver con el diseño del sitio real de Telcel (colores, disposición de liga, imagen corporativa, etc.) El sitio real de Telcel en la parte de amigo kit se ve así 121408-telcel En el URL hace falta la “s” del protocolo de seguridad https y por ende VeriSign ahí sale sobrando porque no hay certificado de seguridad al ser una dirección sin SSL. Como se notará, si alguien tiene la desgracia de meter ahí sus datos, les estará dejando: Nombre, celular, dirección y la información de su tarjeta de crédito. Con estos datos pueden hacer compras por Internet y en establecimientos fuera de línea hasta agotar por completo el crédito de la tarjeta. Y con la inseguridad citadina en la que nos deja el mediocre gobierno del D.F., la susceptibilidad de que también realicen extorsiones teléfónicas y directo a tu celular. Entiendo que la situación económica obligue a las personas a buscar medios alternativos de ingresos, pero nunca te debe empujar a cometer estos engaños en los que el mucho o poco patrimonio de una familia, se ve comprometido. No han de creer en el Karma… En fin… mucho cuidado que esta “pseudo” gente anda suelta.

    Actualización aquí (Abril 2009)

    Circula video de avionazo (El Universal) – Correo falso

    noviembre 13, 2008 2 comentarios

    Aprovechando el “accidente” que tuvo el LearJet el 4 de Noviembre en la Ciudad de México, hoy llega un correo nuevamente falso, buscando explotar el morbo o la curiosidad del receptor. El remitente supuestamente es el diario mexicano El Universal. Pero realmente llega de otra fuente que nada tiene que ver con él.

    El Universal (falso)

    El texto mal redactado y sin ortografía – primer indicio que te hará pensar: “ésto no viene de El Universal” – reza así:

    Circula por la web video captando el momento del avionazo en el que Fallece el Secretario de Gobernación de México
    El dia lunes 10 de noviembre, un espectador presenta grabación donde se muestran imagenes precisas del descenso y colapso de la aeronave en la que viajaba el secretario de gobernacion Juan Camilo Mouriño, acompañado del ex titular de la SIEDO José Luis Santiago Vasconcelos y otros funcionarios; tal catastrofe ocurre a escasos metros de Periférico y Paseo de Reforma.
    Se estima que gracias a esta grabación el trabajo de Peritos y Forenses internacionales se facilite y lleguen a una conclusión en los proximos días.
    Ver video.

    El link ver video lleva a un servidor que para nada es de El Universal y para no variar aparece una página que a todas luces es falsa pero que podría engañar a más de un despistado o persona que podría estar empezando a hacer uso del Internet y las computadoras.

    Video Falso_Una página completamente negra con solamente el control del video y que aparece con la leyenda “loading”.

    Otra evidencia que nada tiene que ver con el periódico El Universal.

    Si nos fijamos en la dirección, estamos entrando a un sitio donde, si dejamos que suceda, nos descargará un archivo ejecutable (terminación .exe) que al presentarse directamente en la dirección – no mostrada por obvias razones – nuestro navegador intentará reproducir en nuestros equipos.

    Después de un segundo aparecerá el ya típico diálogo emulando la que nos aparecería si necesitáramos actualizar nuestra versión de flash.

    Diálogo Falso de Flash

    Me supongo que han de ser los mismos tipos ya que es igual al que aparece siempre que te quieren engañar con eso de la versión del Flash.

    Si no cuentas con un buen antivirus o suite de seguridad, el diálogo no te dejará hacer nada sino hasta que presiones el botón “Ok”

    sds

    Necesitarías apretar la combinación mágica (a veces no funciona cuando algún malware nos infectó y desactiva o el programa o la combinación) Alt + Ctrl + Del para invocar al Administrador de tareas.

    Task Manager Haces clic en la pestaña “Procesos” y seleccionas el proceso que te suene como al nombre de tu navegador.

    Luego presionas el botón “Terminar proceso” para poder salir de él.

    En el caso de Kaspersky IS 2009 aparece de inmediato el bloqueo del ejecutable y el mensaje de que el sitio está infectado con Heur.Trojan.Generic.

    Para algunos puede parecernos evidente que es un fraude donde seguramente buscarán infectar nuestro equipo con algún malware, pero para otras personas, no.

    Espero les sea de ayuda.

    Saludos

    Adwords sitios de phishing – Correo falso

    mayo 5, 2008 Deja un comentario

    Google AdwordsOtro correo falso que tal vez podría confundir a más de dos es el de Google Adwords. Esto es lo que me ha estado llegando:

    Remitente: Google-AdWords-noreply [adwords-noreply@google.com]

    Asunto: Please Re-activate your account
    ———————————————————————————-
    Dear Google AdWords Customer,
    We were unable to process your payment.
    Your ads will be suspended soon unless we can process your payment.
    To prevent your ads from being suspended, please update your payment information.Please sign in
    to your account at http://adwords.google.com/select/login,
    and update your payment information.
    ——————————————————————————-
    This message was sent from a notification-only email address that does
    not accept incoming email. Please do not reply to this message.
    ——————————————————————————-
    Thank you for chosing Google Adwords

    Otro más

    ——————————————————————–
    Dear Google AdWords Customer,

    We were unable to process your payment.
    Your ads will be suspended soon unless we can process your payment.
    To prevent your ads from being suspended, please update your payment information.

    Please sign in
    to your account at http://adwords.google.com/select/login,
    and update your payment information.
    —————————————————————————-
    This message was sent from a notification-only email address that does
    not accept incoming email. Please do not reply to this message.
    —————————————————————————-
    We look forward to providing you with the most effective advertising available.
    Si se abre el correo como HTML, el link no lleva a esa dirección sino a otra. Es por eso que si uno copia y pega la dirección el phishing no se aplica.

    En este caso sólo aplica cuando se tiene una cuenta con Adwords, el cual es mi caso, y por ende te hace dudar si realmente es para ello.

    Si haces clic directamente en la liga te va a llevar a un lugar de phishing idéntico al login de Google.

    Google phishing

    Algo que me permite verificar la autenticidad del sitio es la relación de los vínculos. Están aquellos que apuntan obviamente a Google, pero otros apuntan a un servidor en quién sabe dónde.

    ¿Para qué querrían mis datos de Google Adwords?

    Tal vez no son muchas las personas con este servicio, sin embargo, si le atinan a uno que otro – como fue en mi caso – lo que obtienen son tus datos para que todas tus ganancias por este servicio se vayan a sus propias arcas. La probabilidad es baja, pero dado que las ganancias no son muchas, algunas personas lo revisamos cada 3 meses y notamos que hay por ahí unos pocos dólares. Pero si robas la identidad de unas 50 personas, cada 3 meses tienes unos 500USD robados en tu cuenta…

    Recomendaciones

    – Revisar siempre el dominio de los hipervínculos de cualquier correo.
    En este caso las primeras partes del correo parecían ser de Google, pero el resto de la dirección sugiere phishing.

    – Identificar el remitente del correo. A veces con sólo presionar el botón de “Responder” te aparecerá el remitente. En otros casos hay que revisar el encabezado. Este correo me lo envío una tal flora1944@yahoo.com ¡Cuidado con esta dirección!

    Banamex le comunica – Correo falso

    marzo 14, 2008 Deja un comentario

    Hoy me llegó un correo de parte “Grupo Financiero” con el título “Banamex le Comunica

    Verificando el encabezado del correo veo que llega del dominio “cibexlesusa.com” no de Banamex. El remitente es “nobody” ni muestra ningún identificador válido.

    El texto del correo es como el que se muestra a continuación

    Mail Banamex falso

    Nuevamente es lo que redireccionan a una página que, en este caso, se ve chafona, y no sólo eso, al final de la página muestra publicidad.
    “Baby Shower Favors | Online Casino | Free Website | Cash Advance | Free Music Downloads ” 🙂

    El URL es 031408 Banamex URL Falso donde el dominio es t35. ¿Qué tiene que ver con Banamex?

    Obviamente no muestra el procolo https que indica que se usará un certificado digital para asegurarte que te estás conectando con Banamex y por ende, tampoco está el candado indicando la encripción de la información.

    Cuidado con esta basura que llega.

    A %d blogueros les gusta esto: