Nuevo intento de robo de información contra usuarios de Liverpool

El vector de ataque contra usuarios de Liverpool, que les extiende una “invitación” para que actualicen su información de Liverpool y Fábricas de Francia, aparece de nuevo; un ataque muy parecido lo habíamos reportado en este mismo blog en mayo de este año.

El UNAM – CERT fue notificado sobre un supuesto correo enviado por la cuenta de ventasd, de Liverpool. Con el asunto: URGENTE – Actualización Liverpool y Fábricas de Francia.
 
 
Cuando revisamos el código fuente del correo, verificamos que todas las ligas apuntaban a un sitio totalmente ajeno a Liverpool; sin embargo, las imágenes y referencias dentro del correo las obtenían del sitio original.
 
 
Al hacer clic sobre cualquiera de las ligas, nos dirige a un sitio apócrifo de Liverpool, donde solicita el correo electrónico y contraseña para ingresar.
 
 
Al analizar el código fuente de esta página, fue posible ver que la información estaba siendo procesada por un archivo llamado login.php.
 
Posteriormente, al evaluar el tráfico capturado, se constató que los datos que se capturaban en el formulario se envíaban en claro.
 
 
Independientemente de la información que se ingrese, el portal falso regresa a la pantalla de inicio, solicitando de nuevo correo electrónico y contraseña, argumentando que existe un error. Generalmente, los programadores de páginas falsas realizan este tipo de trucos para verificar la información del usuario.
 
 
Una vez que la información queda supuestamente validada, entonces el portal falso muestra una “Actualización de datos”, en la que solicita el número de cuenta de la tarjeta de Liverpool y el NIP. Después, pide información de la tarjeta, así como datos del tarjetahabiente.
 
 
 
Como en casos anteriores, ingresamos información falsa para identificar el sitio donde se guardaron los datos robados. Pudimos determinar que el mismo sitio que alojaba el phishing, estaba guardando la información por medio de un archivo llamado lregistroDilisa.php. Además, toda la información era transferida en claro.
 
 
Después de haber "actualizado la información", el portal mandó un mensaje de agradecimiento con el texto que transcribimos literalmente: “Actualización de datos correcto. Ahora puede puede seguir disfrutando de nuestro sitio web. Gracias”, se mostró por algunos segundos, para posteriormente direccionar al sitio legítimo de Liverpool. 
 
 
 
Es muy importante no hacer caso a correos electrónicos que soliciten "Actualizar" cualquier tipo información, más aún cuando piden números de tarjetas, ya sea de crédito, débito o departamentales.
Enviado por plorenzana el Lun, 10/17/2011 - 14:21