Phishing contra banco mexicano !!!

El día 10 de junio recibimos la notificación de un correo electrónico supuestamente de Bancomer en el que se anunciaba una actualización de “los servidores de procesos bancarios”, para lo cual, se pedía al usuario una restauración de sus datos.

El enlace www.Bancomer.com y uno presente en la imagen del correo, apuntaban hacia el sitio http://salsasdelcasino.com/XXXX/100023.html y através de éste, se efectuaba una segunda redirección al sitio phishing del banco: http://depilhouse.server2.com.br/XXXx/DB/www.bancomer.com/

La forma más rápida de identificar el engaño, es a través de la URL, la cual hace referencia a un dominio en Brasil.

Decidimos investigar hacia dónde eran enviados los datos proporcionados por los usuarios al hacer uso del Acceso a la Banca en línea. En la imagen está encerrado en un recuadro rojo.

Ingresamos un número de tarjeta falso, presionamos el botón “entrar” y al capturar el tráfico, observamos que la información viaja en texto claro y pudimos recuperarla...

Posteriormente, el sitio nos pide ingresar un usuario y una contraseña para el número de tarjeta anterior. Esta información también la pudimos apreciar en el tráfico del sitio.  

El script que procesa la información es uno llamado proceso.php.

A continuación, el sitio pide al usuario que ingrese el código de su token de acceso y su clave de operaciones. Ingresamos números al azar y también los visualizamos en el tráfico.

En esta ocasión, fueron procesados por el script netkey3.php

Para que el usuario confirme su información confidencial, el sitio pide que ingrese nuevamente los datos.

Además, solicita un número telefónico para que un supuesto ejecutivo se ponga en contacto para validar nuevamente su información.

Ingresamos un teléfono muy popular y también lo observamos en el tráfico.

El sitio muestra un mensaje final en el que indica al usuario que será contactado en los próximos 30 min por un “ejecutivo”.

En el verdadero sitio del banco, una vez que el usuario ha ingresado su número de tarjeta, solicita una confirmación del número.

Al presionar en “Sí”, se abre la ventana de la ayuda interactiva y debido a que en su sistema no se encuentra registrado el número de tarjeta que proporcionamos (lo inventamos), nos hace una serie de preguntas y con base en las respuestas, nos arroja un diagnóstico.

Cuando se trata de realizar consultas en la Banca en línea de cualquier institución financiera es muy importante cerciorarse de que la URL no contenga algún elemento sospechoso, si es así, deberá cerrarse la página y notificar a las mismas instituciones para que actúen al respecto.

Otro aspecto fundamental, es verificar que esté habilitado el cifrado en el sitio (HTTPS) para evitar que la información confidencial pueda ser observada en el tráfico generado.