De: support@cajamadrid.es (O-a@aermacchi.it)
Caja Madrid - Banca en Linea
| Estimado cliente de Caja Madrid: |
|
Caja Madrid siempre trata de encontrar sus expectativas mas altas. Por eso usamos la ultima tecnologia en seguridad para nuestros clientes.
Por lo tanto nuestro departamento de antifraude ha desarrollado un nuevo sistema de seguridad que elimine cualquier posibilidad del acceso de la tercera persona a sus datos, cuentas ni fondos. Este sistema esta construido en la utilizacion de una pregunta secreta y respuesta. Su respuesta secreta seria usada para confirmar su identidad cuando haga una operacion de pagos.
Es obligatorio para todos los clientes de Caja Madrid Banca en Linea usar este sistema de seguridad.
Nuestro consejo para usted es que introduzca sus datos se acceso para pasar La Verificacion Del Sistema. Si el registro no es realizado dentro de 48 Horas su cuenta sera suspendida temporalmente hasta que su registro sea completado.
Esto solo le va a costar unos minutos de su tiempo y va a tener una seguridad mucho mas estable.
Para comenzar el registro por favor pinche aqui:
| | |
Observese que la url del link lleva a una pagina totalmente distinta a la del banco en cuestion. no por ello las imagenes son obtenidas de la propia web de caja madrid.
http://hlclrs.us/caja/login.htm
Desde este mismo enlace redirecciona la web hacia http://artjel.com/caja/login.htm. En la propia pagina puede observarse como incluso las fuentes estan mal definidas.
En el codigo de la pagina principal puede observarse que hace referencia a ciertos procesos escritos en javascript y a el archivo
poss.php situado en la misma carpeta en el servidor donde procesa los datos enviados del formulario. Los enlaces hacen referencia a la propia web de cajamadrid. En un princpio el archivo php antes mencionado no permite el aceso desde el explorador.
Viendo el codigo puede observarse que hace mencion a la misma pagina con los mismos archivos java, para
comprobar a donde se envia la informacion seria necesario buscar entre los diferentes archivos java y
comprar el codigo del php frente al de la pagina principal para ver cuales serian los cambios ya que seria
posible que en esta se mostraran otros archivos que serian los originales a los que iria la pagina en cuestion.
Debido a mi falta de tiempo me gustaria seguir mirando para ver a donde llega pero bueno aqui queda esto.
2 comentarios:
Es verdad, cada vez más me sorprende la cantidad de ataques de pishing que sufren las entidades bancarias.
Entre otras cosas para continuar el analisis podriamos lo primero averiguar la ip origen del email. Luego en base a esa ip que seguramente sea una ip de un proxy o una red anonima, si no lo fuera podriamos hacer un whois a esa ip para ver cual es su localización exacta, podriamos tambien hacer un escaneo con nmap para ver puertos, sistema operativo, etc que hay tras esa ip. Tambien si el resultado de la ip obtenida en el correo electronico fuese fallida por pertenecer a un proxy o red anonima podriamos escanear el propio enlace al que nos redirige el correo usando el mismo metodo podriamos obtener la ip del servidor que alberga la página e incluso hacer un escaneo de vulnerabilidades del propio pishing, podriamos editar el codigo fuente de la web y buscar a donde nos llevaria la recopilacion de nuestras credenciales del banco, ya que ese seria el fin del pishing en cuestión. siendo cabrones y rebajandonos al nivel del ciberdelincuente podriamos atacar al mismo con mucha facilidad. Por propia experiencia el atacante nunca se molesta mucho en proteger su propia seguridad y suele estar bastante expuesto a cualquier ataque facilmente.
Publicar un comentario