Phishing en el Perú, los delincuentes volvieron
El año pasado las televisoras locales alertaban a los usuarios de las bancas online, el cuidado que deberÃan tener al momento de compartir sus datos, vale decir accesos y contraseñas en Internet ya que muchos delincuentes han aprovechado su conocimiento en la red y el desconocimiento de otras personas para atentar contra ellos y defraudarlos. Este acto delicuencial es llamado Phishing y ya no habÃamos tenido noticias de él desde hace mucho.
Es hasta hoy que he recibido un SUPUESTO email del banco ScotiaBank, del cual soy cliente, diciéndome lo siguiente:
**********************
Estimado cliente de Scotia Bank,
Según nuestros registros informáticos, hemos detectado recientemente que los accesos a su cuenta a través de e-banca han sido realizados desde diferentes direcciones IP. Esto seguramente se debe a que la dirección IP de su computador es dinámica y varÃa constantemente, o debido a que usted ha utilizado mas de un computador para acceder a su cuenta.
Por favor haga clic aqui para actualizar sus datos:
**********************
Hasta ahora todo puede parecer perfecto, pero por seguridad se me vino a la cabeza revisar si detrás del enlace que claramente me llevarÃa a una página real del banco, pueda estar otra dirección. Al pasar el mouse sobre ella noté que efectivamente la dirección real era:
Abrà la página en FireFox, el navegador que utilizo, y éste ya me advertÃa que la página era una página sospechosa o fraudulenta:
Aún asà revisé rápidamente en Xwhois para ver a dónde pertenecÃa esa IP; el resultado fue el siguiente:
IP address: 217.217.130.119
Host name: 119.red-217-217-130.user.auna.net
217.217.130.119 is from Spain(ES) in region Europe
Él o los Phishers se encuentran en España, tratando de usurpar nuestras cuentas bancarias. SerÃa importante que tomen en cuenta este sencillo procedimiento de antes de brindar algún dato bancario o personal vÃa Internet.
Es propicio alertar a los señores jefes o expertos de Seguridad de los bancos afectados, porque también he recibido un e-mail similar del Banco de Crédito del Perú (BCP), de estos sucesos. Como verán para confirmar si una dirección o mensaje de un banco es REAL no es necesario realizar procedimientos cientÃficos, solo basta con recurrir a un par de herramientas, fruncir el ceño y dudar.
- Inicia sesión o regÃstrate para publicar comentarios.
Comments
Es cierto, al pasar el mouse
Es cierto, al pasar el mouse por la supuesta correcta dirección (uso explorer y hotmail) puedo ver en la barra de estado la verdadera dirección, muchas veces esa dirección es del host gratuito lycos.
Me han llegado a mi bandeja de entrada decenas de estos e-mails falsos del ScotiaBank y del Banco de Crédito.
La misma técnica usada para robar cuentas de correo.
-----------------------------
Nirvana y Grunge
Hay que tener en cuenta que
Hay que tener en cuenta que el Banco de Crédito (imagino que ScotiaBank también) tiene por polÃtica nunca colocar links en los emails que envÃan. Asà que, si el email tiene un link, pueden tener la seguridad que es falso. Yo ya recibà varios y no tengo cuenta en esos bancos.
Lamentablemente los bancos no se preocupan lo suficiente en educar a los usuarios.
Saludos,
Pedro.
Aprendiz de mago.
Calma y buen humor.
lo recibi en el spam
Me llego ese correo al spam de gmail, y el que mencionas del BCP, al hacerle un whois tambien era de Espania, y creo que uno anterior a ese tambien, aunque es facilmente detectable por lo horrores ortograficos que contienen, y la direccion falsa en la barra de direcciones, lo unico que se puede hacer es marcarlo como spam, y que el antispam de gmail se encargue del resto
En SPAM de Gmail
Hola amigos,
Pues yo también lo recibà en la carpeta SPAM de Gmail. El último anzuelo que recibà (del del BCP) si llegó a mi bandeja de entrada directamente.
Tal y como lo comentaba en el artÃculo que escribà para TecniPC en esa ocasión, los delincuentes informáticos se encontraban aparentemente en España y veo que en esta oportunidad también es asÃ.
Siempre avisen a sus amigos y/o familiares acerca de este tipo de amenzas virtuales, estoy seguro que varios adultos podrÃan caer fácilmente asà que es mejor que les eduquemos al respecto.
Jonathan Cieza.
Grupo TecniPC
Uno mas...
Mensualmente recibo emails del BBVA donde mencionan que en ningun momento enviaran un email pidiendo actualizacion de datos y o enlaces directos. Creo que la misma politica la tienen todos los bancos para evitar el caso de pishing... pero aun asi los usuarios comunes caen en estas redes.
Saludos
--
LinuxHero
http://linuxhero.wordpress.com
IP del email ilegÃtimo
Saludos!
Yo tb. recibà el correo ese del Scotiabank, pero no aparecÃa una IP en la URL del navegador, sino un nombre de dominio registrado por un fulano en Zaragoza, España, no recuero ahora cuál era..). Probablemente, se dieron cuenta y lo cambiaron por la IP.
Cualquier delincuente que se precie un poquito, no utilizarÃa un dominio registrado y además usarÃa un proxy anónimo que le proveerÃa de una IP falsa.
Estos pavos parecen estar bastante crudos y sólo alcanzarÃan el grado de aprendiz de malhechor en prácticas.
Esperemos que sigan asÃ, para que los calcen de una vez y dejen de causar tanto daño y sufrimiento a la gente de pro.
Saludos,
Andina Real S.A.C.www.andinareal.com.pe
La educacion es la solucion
A mi bandeja tambien llegaron del ScotiaBank, del cual soy cliente. Y pues como mas de uno lo menciono para nosotros esto es facilmente detectablemente, probablemente muchos de nosotros ha construido varias de estas cosas para conseguir cuentas de correo y demas. Pero el problema radica en los usuarios que no tienen los conocimientos suficientes de Internet para detectar estos mails fraudulentos. Y no creo que la Tecnologia apoye lo suficiente a evitar esto, sino la educacion a los usuarios es la solucion. La idea es llegar a ellos de la mejor manera para que esten prevenidos, porque estamos seguros que muchos ya dejaron informacion personal.
Saludos
217.217.130.119
This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag
% Information related to '217.217.128.0 - 217.217.191.255'
inetnum: 217.217.128.0 - 217.217.191.255
netname: CABLEMODEM-AUNA-ZONA-SUR
descr: AUNA
country: ES
admin-c: TA718-RIPE
tech-c: TA718-RIPE
tech-c: TA718-RIPE
status: ASSIGNED PA
mnt-by: AUNA-MNT
source: RIPE # Filtered
role: Techauna AUNA
address: C/ Basauri, 7-9 La Florida, Aravaca
address: Aravaca (28023)
address: Spain
phone: +34911809300
fax-no: +34911809245
e-mail: ripe-tech@ono.es
admin-c: TA718-RIPE
tech-c: TA718-RIPE
nic-hdl: TA718-RIPE
mnt-by: AUNA-MNT
remarks: --------------------------------------------------
remarks: for net abuse questions please contact:
remarks: abuse@auna.es
remarks: --------------------------------------------------
source: RIPE # Filtered
% Information related to '217.216.0.0/15AS16338'
route: 217.216.0.0/15
descr: AUNA - ZC SUR
origin: AS16338
mnt-by: AUNA-MNT
source: RIPE # Filtered
ataque bcp
bueno aqui les dejo los mails que mande al tipillo ese que es dueño del dominio donde me llagaban los ataques del banco BCP, si a alguien le han vuelto a llegar ya tenemos a alguien a quien denunciar formalmente.=) yo generalmente uso el "GeekTools Whois" porque es codigo libre, ademas del otras herramientas como el CAIN que tiene un poderoso whois incorporado. basado en la experiencia recomiendo primero contactar con el dueño del server ya que generalmente los servers que brindan servicio de hosting ho hacen un chequeo exaustivo de lo que cuelgan sus clientes. en el del supuesto español que envia ataques de ingenieria inversa seria cuestion de mandar un correo al hosting .
cabe señalar que desde que le hice "el pare" a el dueño de server nombrado en los mesajes de arriba no he tenido mas ataques.
(Los mensajes se leen de abajo hacia arriba)
un cordial saludo a todos los webmasters
ultimo mensaje:
No tengo información alguna de quien ha podido ser, ya que el único que administra el dominio y hosting soy yo, la página no tenÃa actividad desde hace tiempo. He estado informándome y me han dicho que eso es un ataque que he sufrido…espero que no vuelva a ocurrir…puesto que a mi no me hace ninguna gracia que usen mi página para hacer ataque.
El primer mail lo leà ayer, justo cuando me reactivaron las cuentas de correo, y las medidas oportunas las tomaron los encargados de hosting. Todo se resolvió lo más rápidamente posible, por lo menos en lo que a mi parte se refiere.
Aun asà creo espero que no volvamos a tener ningún problema al respecto…
Att.
Jose
--------------------------------------------------------------------------------
De: genco[mailto:gencoservice@hotmail.com]
Enviado el: martes, 14 de agosto de 2007 16:46
Para: webmaster@produccionestaurinas.com
Asunto: RE: Verificacion Urgente.
En buena hora, hemos recibido constantes ataques de ingenieria inversa y varios usuarios del BCP se estan quejando, si tienes alguna informacion de la personas o personas que estan creando esots ataques te agradecere te comuniques conmigo.
Por otro lado tu Ip ya esta chequeada, no hay ningun porblema.
Atte:
genco
--------------------------------------------------------------------------------
From: "Webmaster ProduccionesTaurinas"
To: "'Marco Benvenuto'"
Subject: RE: Verificacion Urgente.
Date: Tue, 14 Aug 2007 15:59:02 +0200
MIME-Version: 1.0
Received: from www.bigbluehost5.com ([70.86.229.226]) by bay0-mc11-f13.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668); Tue, 14 Aug 2007 06:58:48 -0700
Received: from [87.218.14.66] (port=2281 helo=trasumante)by www.bigbluehost5.com with esmtp (Exim 4.63)(envelope-from )id 1IKwv2-0005wI-Aefor marco_benvenuto@hotmail.com; Tue, 14 Aug 2007 08:58:50 -0500
Hola genco,
Desconozco quien ha metido ese link dentro del dominio. No obstante ya está borrado, y hemos tomado nuevas medidas de seguridad. No he podido leer el mail antes por tener desactivada la cuenta.
Espero que todo se haya corregido correctamente.
Atte.
Jose
--------------------------------------------------------------------------------
De: genco [mailto:gencoservice@hotmail.com]
Enviado el: lunes, 13 de agosto de 2007 0:35
Para: webmaster@produccionestaurinas.com
Asunto: FW: Verificacion Urgente.
primer mensaje:
HOla acabo de recibir este mail desde el dominio http://www.produccionestaurinas.com/www.viabcp.com/
este dominio no pertenece al banco BCP del Peru por lo tanto te recomiendo borres ese subdominio o me vere en la obligacion de denunciarte ante las autoriadades correspondientes.
Atte;
genco
--------------------------------------------------------------------------------
From: service@paypal.com
gencoservice@hotmail.com
Subject: Verificacion Urgente.
Date: Sun, 12 Aug 2007 15:50:47 -0500
MIME-Version: 1.0
Received: from py-out-1112.google.com ([64.233.166.181]) by bay0-mc10-f17.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668); Sun, 12 Aug 2007 13:50:48 -0700
Received: by py-out-1112.google.com with SMTP id f47so2272184pye for ; Sun, 12 Aug 2007 13:50:48 -0700 (PDT)
Received: by 10.35.68.3 with SMTP id v3mr7433308pyk.1186951848715; Sun, 12 Aug 2007 13:50:48 -0700 (PDT)
Received: by 10.35.28.7 with SMTP id f7cs165886pyj; Sun, 12 Aug 2007 13:50:48 -0700 (PDT)
Received: by 10.100.8.18 with SMTP id 18mr4433716anh.1186951847870; Sun, 12 Aug 2007 13:50:47 -0700 (PDT)
Received: from alexandria29.2mhost.com ([75.126.152.5]) by mx.google.com with ESMTP id c16si6286377anc.2007.08.12.13.50.47; Sun, 12 Aug 2007 13:50:47 -0700 (PDT)
Received: neutral (google.com: 75.126.152.5 is neither permitted nor denied by best guess record for domain of loztkod@alexandria29.2mhost.com) client-ip=75.126.152.5;
Received: from loztkod by alexandria29.2mhost.com with local (Exim 4.66)(envelope-from )id 1IKKOd-0001uw-FKfor marco.benvenuto@gmail.com; Sun, 12 Aug 2007 15:50:47 -0500
link falso:
BCP se renueva constantemente incluyendo nuevas funcionalidades y servicios, modernizando la operación en su conjunto. A tal efecto y para continuar teniendo acceso a toda la gama de servicios que te ofrecemos, es necesario que aceptes el nuevo Clausulado del Contrato de Prestación de Servicios.
Recuerda que BCP te permite administrar tus finanzas personales de forma fácil, rápida y segura en cualquier momento y sin importar donde te encuentres..Actualmente, disfrutas este conjunto de beneficios pagando comisiones por algunas transacciones. A partir de 14 Agosto 2007, buscando mejores opciones de pago para tus necesidades, Bcp pone a tu disposición dos esquemas alternativos de pago por el servicio, de los cuales debes elegir uno. Por lo tanto le pedimos que ingrese a su cuenta seleccionando www.viabcp.com o para mayor comodidad en la imagen de abajo ...
BCP pone a tu disposición, sin costo adicional nuevos servidores que cuentan con la ultima tecnologÃa en proteccón y encriptacion de datos.
Una vez mas BCP lÃder en el ramo.
--------------------------------------------------------------------------------
Le recordamos que ultimamente se envian e-zmails de falsa procedencia con fines fraudulentos y lucrativos. Por favor nunca ponga los datos de su tarjeta bancaria en un mail y siempre compruebe que la procedencia del mail es de @viabcp.com
Si tienes cualquier duda o consulta, comunÃcate con Banca por Teléfono VÃaBCP 311 9898
fin del link falso
--------------------------------------------------------------------------------
Busca a la vez en Internet, en directorios, en enciclopedias... Atrévete con el nuevo MSN Search
--------------------------------------------------------------------------------
a mi me ha llegado varias
a mi me ha llegado varias veces este tipo de phising tanto del "bcp" como del "scotiab".
el que me llego hoy dia del "bcp" vino con el link oculto
"http: // cocoa. co. za /bcpzonasegura/bcp/OperacionesEnLinea /"
(le incluido espacios obviamente)
el gif incrustado como encabezado es este
http://brightlightstheatre. org//sohoadmin/program/modules/mods_full/includes/phe1.gif
lo mas curioso (o anecdotico) es que el Asunto viene en una redaccion bastante infantil como para creer que viene de un banco:
Urgente Atender Notificacion!!!
esto es muy facil :
"From: Banco de Credito < servicio @ viabcp. com >"
etc
debe ser el tercer o cuarto email que me llega , siempre un URL phishing distinto. q obviamente no me di el trabajo de almacenar.
si me di cuenta que lo han ido puliendo un poco a nivel de redaccion. pero es evidente que quien lo hace no tiene mucho recorrido.
lo que sucede aca es que se inyecta codigo a esos servers y ademas usas su smtp y los dueños no tienen "p" idea que esto esta sucediendo con sus proveedores de hosting. (que son los que realmente deben responder por esto).
dudo realmente que el phisher este en españa
esto de la ingeneria social es increiblemente facil y efectivo.
es exactamente lo mismo que disparar varias veces a una "bandada de pajaros" de varios cientos de millones.
es mas que fijo que un porcentaje VA A CAER.
asi de increible y efectivo.
la gente no toma precauciones al leer sus correos.
o hacer algo simple. tener una cuenta aparte , poco conocida, que se use solo para cuentas de bancos y asi.
por cierto los mails que me llegaron me llegan a mi cuenta de combate (y que no es hotmail ni ninguna otra gratuita sino de un dominio propio) que uso para la lista de correo de exalumnos de mi colegio. ya se imaginaran que no recibo en esa casilla.
tambien que ahora cualquier hijo de vecino se monta un server y empieza a dar servicios de hosting. ese si es un problema.
por cierto genco, no es buena idea poner tu hotmail en un foro publico
me acaba de llegar otro
me acaba de llegar otro phishing
esta vez supuestamente del scotiabank (a mi casilla de cachivaches)
bla bla bla
el link por arriba:
www.scotiabank.com.pe
el link por debajo :
http://www.jrk-ditzingen. de/forum/cache/index1.htm
clikeas ahi te manda a
http://70.47.29.128/~peru01/scotiabank.com.pe/
"70.47.29.128" es
brazil.nswebhost.com
borras la ultima parte y que tenemos
http://70.47.29. 128/~peru01/
una empresa de transporte de peru ? miami usa?
y abajo que hay?
un footer con el servicio de hosting y webdesign
Grupoweb2000
http://grupoweb2000.net/
---
por si quieren revisar las carpetas ( o es muy descuidado o le importa nada que lo rastreen..)
http://brazil.nswebhost.com/~peru01/scotiabank.com.pe/index_archivos/
http://brazil.nswebhost.com/~peru01/scotiabank.com.pe/index_archivos/sco...
ahi pueden ver el login.php y login2.php, etc
por si quieren ver el dialpad
http://brazil.nswebhost.com/~peru01/scotiabank.com.pe/index_archivos/sco...
por si quieren revisar el popup
http://70.47.29.128/~peru01/scotiabank.com.pe/index_archivos/index2.htm
--
ok ya sabes quien descuido la seguridad del hosting (si es que son ellos los que proveen el hosting)
por otro lado el sitio web de alemania tiene esa carpeta (el cache del phpbb) con los permisos de escritura por lo que seguramente no debe ser muy dificil inyectar un codigo por ahi que lo unico que hace es forwardear al otro sitio.
entonces haces un solo sitio de destino y varios desde donde entrar , sueltas un bot por ahi que busque donde colocar el forwarder y listo.
aun no esta reportado como phising pero ya lo acabo de hacer yo.
revisen estas paginas pronto por que es muy probable que en cuestion de horas desaparezca.
como se puede ver los tipos no necesariamente estan en españa
Creo que debemos frenar esto informando Más
Amigos de la ANWMP como saben hoy por hoy nos envian muchas invitaciones y correos tipo loteria, lo mas resaltante en los phishing es que a la deriva te envian emails sin importar si tienes o no una cuenta verdadera en la institucion bancaria que pretenden asaltar por ejemplo me mandaron un email solicitando mis datos de CAJA MADRID (España) pero yo nunca estuve alli ni tengom una cuenta de 50 mil Euros en ella osea que es un mensaje disparatado creo que desde ya debemos tener la Looooogica necesaria para determinar que este es un engaño de los mas antiguos por el simple hecho de que en realidad yo nunca fuy cliente de CAJA MADRID por lo tanto DEBO OMITIR Y ELIMINAR ESE EMAIL.
Debemos partir de un principio logico y no dispararnos a hacer caso a correspondencia maliciosa que en realidad nos quiere distraer para robarnos, ademas hay que tener en cuenta que la mejor forma de obtener información sobre nuestras cuentas es llamar directamente al Banco o en todo caso ingresar a nuestras PLATAFORMAS DE CUENTA POR INTERNET algo que no se hace mucho aqui en peru por desconocimiento pero que en realidad se deberia hacer ya que te permiten hacer de todo como realizar pagos de recibos, transferencias, letras, etc.
Y si tuviesemos alguna anomalia es importante notificarla al banco de inmediato y no dejarla al final del dia porque la memoria es fragil y nuestro tiempo para hacerlo se agota.
Saludos,
Luis Antonio Boy Goicochea
Especialista en Sistemas de Información
Asesor en Proyectos Web y Marketing Informático
Formas de Contacto:
Email: lboy@techmastersperu.com / techmastersperu@yahoo.es
MSN: labg_2002@hotmail.com
Telef. (+51)-1-557-3358 / Celular Claro: 91336345 – Telefónica Móviles: 96540396
Web Site: http://www.techmastersperu.com / http://techmastersperu.uni.cc / http://www.gruporeflex.uni.cc / http://www.reflexsystems.cjb.net
Para los que tiene paypal cuidado con esto
Esta llegando correos con esta direccion:
http://www.qwertie.com/image-upload/files/page/paypal.com/secure.service...
Miren bien la direccion.
_____________________________________________________
Nunca desistas de un sueño. Sólo trata de ver las señales que te lleven a él.
www.alpacav.com
me llegaron estas paginas quieeo denunciar
http://daltydo.com/form/use/phpforms/files/Noticias.exe
http://www.degeneres-e.org/includes/sendit.php
con suma urgencia necesito reportar estas paginas falsas de banc
http://daltydo.com/form/use/phpforms/files/Noticias.exe
http://www.degeneres-e.org/includes/sendit.php
El FTC
Si no me equivoco, los reportes de phishing se realizan aqui:
https://www.ftccomplaintassistant.gov/FTC_Wizard.aspx?Lang=es
Saludos...
Irving Joao Kcam Reyna
CixHco Web Business
Hosting Perú económico