Criado Indomable

Un intento de Blog de Sebastián D. Criado – 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

Phishing del Banco Credicoop que se anuncia como anti-pishing

Posted by Sebastián Criado en Martes, marzo 11, 2008 9:16

SeguridadHace unos días me llego un mail del Banco Credicoop Coop Ltdo que considere bastante extraño. Primeramente, no soy cliente del banco, pero dejando eso de lado, el mail anunciaba en su subject ! Aviso Urgente de Seguridad¡ y ofrecía una herramienta anti-pishing provista por Credicoop Labs (?¿?). Y Tercero la palabra Phishing estaba mal escrita.

Lo que encontré al investigar sobre esto, es que el mail que ofrecía un sistema anti-phishing, lo que realmente estaba haciendo era ofrecer un programa que permitiría hacer phishing a los clientes del banco.

El siguiente es el mail que llego donde lo primero extraño que se ve es que el gráfico del logo del

Mail Anti-Pishing Credicoop

banco realmente apunta a una dirección de Rusia. http://stopcar.ru/backup/dire.php.

domain: STOPCAR.RU
type: CORPORATE
nserver: ns2.paltus.ru.
nserver: ns1.paltus.ru.
state: REGISTERED, DELEGATED
person: EVGENI N SAMOILENKO
phone: +7 495 9985217
e-mail: stopcar@bk.ru
registrar: RUCENTER-REG-RIPN
created: 2001.04.02
paid-till: 2008.04.02
source: TC-RIPN

Si se analizan los encabezados del mail se notara que el mismo viene desde un servidor denominado walker.nswebhost.com.

Si uno hace click en esa dirección, se bajara a la computadora un archivo llamado credicoop.exe el cual al ser ejecutado, modificara el archivo C:\WINDOWS\system32\drivers\etc\hosts para que http://www.bancocredicoop.coop y bancainternet.bancocredicoop.coop apunten a la ip 189.141.48.74 la que tiene un falso sitio del Credicoop en linea para que los incautos ingresen sus datos pensando que ingresarán al sitio verdadero.

Lo importante de este phishing es que modifica el archivo hosts, por lo que el usuario, por más que ponga la url a mano en el navegador, siempre será re dirigido a la ip de los delincuentes.

La misma tiene estos datos:

inetnum: 189.141.48/24
status: reallocated
owner: Gestión de direccionamiento UniNet
ownerid: MX-GDUN-LACNIC
responsible: Gestión de cambios y configuraciones
address: Periferico Sur, 3190,
address: 01900 – México DF – DF
country: MX
phone: +52 55 56244400 []
owner-c: DCA
tech-c: DCA
created: 20070917
changed: 20070917
inetnum-up: 189.128/11
inetnum-up: 189.128/10

nic-hdl: DCA
person: GESTION DE CAMBIOS
e-mail: gccips@REDUNO.COM.MX
address: PERIFERICO SUR, 3190, ALVARO OBREG
address: 01900 – MEXICO DF – DF
country: MX
phone: +52 5 556244400 []
created: 20021210
changed: 20060704
El falso sitio es prácticamente idéntico al original del banco, por lo que no se notará diferencias al entrar. Al momento de poner datos en esa página, ya los mismos habrán sido tomados por los delincuentes.

Cuando pude analizar estos datos, me puse en contacto con el Banco Credicoop para advertirles que sus clientes posiblemente estaban siendo víctimas de un ataque de phishing. Les pedí hablar con algún representante de sistemas, pero en su lugar, me contesto alguien de la mesa de ayuda confirmándome lo que yo ya sabia.

Sr. Criado

Agradeciendo se haya contactado con nosotros, informamos a Ud. que Banco Credicoop NO envía correos electrónicos con enlaces a la Banca Internet, por tanto recomendamos no ingresar a ningun sitio que se menciona en dichos correos y a su vez solicitamos eliminen el mismo.

Cordialmente.
Mesa de ayuda BTA/BPI
011 43205343 8 a 20 hs.
productos@bancocredicoop.coop
Dpto. de Comercializacion
Gcia. de Banca Personal

Me ofrecí nuevamente para pasarles todos los datos recabados, pero no me llego respuesta alguna.

A aquellos clientes del banco les recomiendo que se comuniquen con su entidad y que, como dice en el mail de respuesta a mi aviso al banco, no ingresen a ningún sitio enviado por mail, ya que el banco no lo envía.

ACTUALIZACIÓN : al día de hoy (12/03/2008), la Ip 189.141.48.74 (donde se hospedaba el sitio fraudulento) y la dirección http://stopcar.ru/backup/dire.php (de donde se descargaba el malware credicoop.exe) no están más accesibles.

ACTUALIZACIÓN : En el día de hoy se han comunicado conmigo desde el Banco Credicoop para informarme que se han tomado mediadas desde la página de la institución para informa a los asociados sobre el proceder del Banco a la hora informar a su clientes sobre temas referentes a la banca Internet.

El aviso se podrá encontrar ingresando a cualquiera de los links de banca internet de la página.

Aviso a nuestros Asociados sobre Seguridad
Aviso a nuestros Asociados

Recuerde que Banco Credicoop NO envía correos electrónicos solicitando:

Cambio o confirmación de datos personales.

Claves de acceso a su Banca Internet u otra información bancaria o financiera.

Descargar software de protección anti-phishing ó la ejecución de archivos.

Haga click aquí para ingresar en su Banca Internet

Importante: Ante cualquier duda no deje de contactarse con el Banco mediante correo electrónico a productos@bancocredicoop.coop

Anuncios

4 comentarios to “Phishing del Banco Credicoop que se anuncia como anti-pishing”

  1. Quijote said

    Aparentemente, el banco, no se preocupa por la seguridad de sus clientes.
    Respondieron que estaban al tanto pero que NO consideraban necesario incluír el tema en la página de Banco Credicoop.

  2. Quijote said

    Omití colocar más datos. Están en
    http://www.comunidadquijote.com.ar/?p=120

  3. […] Blog de Sebastián D. Criado […]

  4. […] Blog de Sebastián D. Criado […]

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: