Correo electronico que redirige a Sitio Phishing de Banco Afirme

El Equipo de Respuesta a Incidentes de la Subdirección de Seguridad de la Información UNAM-CERT recibió el reporte de un sitio en internet que suplantaba el portal del grupo financiero Afirme.

El contenido del correo tenía un enlace al supuesto portal del sitio como se muestra a continuación.

Una vez que se hace clic en el enlace el usuario es redirigido al supuesto portal del Banco. En ella se puede observar que la URL comienza con la palabra “afirme” esto con la finalidad de no levantar ninguna sospecha del sitio y hacer pensar al usuario que el sitio es legítimo.

Otros aspectos a tomar en cuenta son que el plugin de Firefox no es capaz de determinar el país donde se encuentra el servidor que aloja el sitio. Sin embargo después de analizar el tráfico de red se puede observar la dirección IP del sitio donde se realizan las peticiones.

Mediante el uso del sitio iplocation.pythonclub.org se pudo obtener la posible ubicación del servidor donde se aloja este sitio.

Después de hacer clic en la pantalla principal del sitio, se carga una nueva página donde se pide que el usuario ingrese sus datos para confirmar que este se encuentra registrado en el sitio.

El código fuente del sitio no presenta algún método de ofuscamiento, por tanto se puede observar fácilmente el dominio con el cual se realizara la comunicación.

Después de introducir credenciales de prueba, se monitoreo el tráfico de red con la finalidad de verificar el dominio al que se envían los datos introducidos.

Se observa en rojo las credenciales introducidas y la validación por el sitio phishing, además un código de respuesta del sitio valida (200). De la respuesta del servidor se puede identificar que el sitio se aloja en un servidor Apache y a su vez hace uso de distintos módulos (perl, python, php, etc.).

Después de haber validado las credenciales se carga un nuevo portal donde pide el ingreso de una clave dinámica. La página realiza la validación de la clave ingresada, y en caso contrario incita a ingresar la correcta.

Mediante el uso de las herramientas para desarrollador se puede observar que la longitud de la clave es de 6 dígitos.

Una vez que se ingresa una clave valida, se carga una nueva página donde se pide ingresar datos personales, como el nombre del usuario y números telefónicos personales.

A continuación una captura del trafico de red que se realizó durante el envío de la clave.

 Dentro del mismo análisis se encontró que el sitio presentaba una fecha con desfasamiento de un día con respecto al día en que se realizó el análisis esto es una muestra que el sitio presenta algunas anomalías, la causa probable es que se encuentra alojado en un país con diferente uso horario.

Una vez que se introdujeron datos aparentemente validos, estos son enviados nuevamente al servidor que aloja el sitio malicioso. En la siguiente imagen se observan en rojo los datos introducidos.

Finalmente se muestra la siguiente página, donde aparentemente personal del grupo financiero se comunicarán con el usuario.

Finalmente mostramos el sitio legítimo de Grupo financiero Afirme, se observan en rojo la URL legítima del sitio, así como el país donde se encuentra alojado el servidor.

Se recomienda evitar enlaces de sitios que llegan al correo, sobre todo si se tratan de instituciones bancarias, muchas veces al ingresar a estos sitios se puede descargar algún tipo de software malicioso que comprometa el equipo.