Intento de robo de datos EN segundamano.esHemos colgado un enlace con una imagen de la página fraudulenta aquí:
Bancos, cajas de ahorro, sitios de subastas, de pago online, empresas
de traspaso de dinero, páginas de comunidades, oficinas de correos,
agencias tributarias, operadores telefónicos, páginas de búsqueda de
empleo... todo este tipo de organizaciones (y más) han sido víctimas de
ataques phishing. Ahora es el turno de los portales de segunda mano. Se
ha detectado un caso de phishing destinado a potenciales usuarios de
segundamano.es que lleva activo varias horas.
El ataque ha sido detectado desde al menos el martes día 15 de julio.
Una URL que simula pertenecer al portal de anuncios clasificados (pero
que en realidad estaba alojada en una página de hosting gratuito),
pretendía ser la empresa de venta de segunda mano y robar los datos de
la tarjeta de crédito de las potenciales víctimas. El phishing solo se
aprovecha de la imagen de la compañía para intentar obtener los datos de
la tarjeta de crédito de la víctima. Lógicamente, en ningún caso la
empresa está relacionada con los atacantes.
El sitio, bastante poco conseguido, pretende simular una página en la
que un anunciante debe confirmar un supuesto anuncio publicado en las
últimas 24 horas en el famoso portal español. El usuario debe introducir
el número de tarjeta de crédito, fecha de caducidad, código CVV, nombre
y NIF. Estos datos viajan al correo electrónico:
a9708767@yahoo.com ADVERTENCIA: Aunque desde el laboratorio de Hispasec no hemos detectado
que la página pueda intentar infectar al sistema de forma automática con
algún tipo de malware, esta situación puede cambiar en cualquier
momento. El autor del phishing puede incluir la inyección de código en
la página e infectar el sistema a través de vulnerabilidad
es u otras
técnicas. Por tanto, visite la página de phishing bajo su
responsabilida
d, pues no podemos garantizar que no pueda llegar a ser
dañino para el sistema.
El phishing sigue un patrón típico de doble URL. Un dominio gratuito
securidadsegun
damano.es.tc muy parecido al original que sirve de punto
de entrada y de redirección para otra URL que apunta a un hosting
también gratuito y que es donde se aloja la página en sí.
Se trata de una campaña potenciada a través de un correo basura que
anima a usuarios a confirmar su hipotético anuncio publicado en
segundamano.es
. El (insistente) texto del correo basura, (el original
en HTLM), es:
*********************************
Confirma anuncio :
Tienes que confirmar en breve el anuncio de nuevo en 24 horas :
En 24 horas hay que confirmar el anuncio
El anuncio lo vamos a borrar en breve si no lo vas a confirmar en 24
horas.
El anuncio esta en nuestra base de datos solo tienes que confirmarlo .
Pulsa el enlace para confirmar el anuncio .
Pulsa aqui para confirmar sus datos :
*********************************
En realidad las probabilidades de que una potencial víctima que reciba
el correo tenga relación con segundamano.es y caiga en la estafa son
mínimas. Esto no desanima a los atacantes, que han encontrado en la suma
de estafas a pequeña escala una fuente de ingresos potencialmente más
lucrativa incluso que el ataque destinado a las grandes masas (usuarios
de Hotmail, Paypal...). Ante la continua explotación de objetivos
típicos donde el universo de usuarios es mayor, se decantan por páginas
minoritarias que, aunque menos populares, presentan la ventaja para los
atacantes de suponer un impacto específico para cierto tipo de usuarios
e incluso más eficaz en conjunto.
Intentos como este merman la confianza de los usuarios en la compra
online. Sabemos que desde hace tiempo cualquier organización, portal,
empresa o compañía es susceptible de sufrir este tipo de ataques,
incluso si el "target" comercial del ataque es muy reducido.
FUENTE: HISPASEC
Autor