Caso de
Estudio phishing de laCaixa
"Ni la entidad, ni windows ni explorer responden con celeridad al phishing"
laCaixa repite hoy día 24 de enero del 2008 con un nuevo intento de phishing por parte de un phisher extranjero. Esta vez el sistema ni funciona y los textos remitidos en el email que intenta capturar los códigos de acceso y validación son si cabe aún más chabacanos, repasemos el procedimiento:
1. En primera instancia se recibe un email, supuestamente lanzado con aleatoriedad a bases de datos de email, si no estaríamos ante un caso de fuga de datos de la entidad y un caso claro de la fragilidad de los datos digitales donde la legislación española supuestamente nos ampara pero en absoluto nos proporciona protección a los usuarios, pues en mayor caso su actitud es sancionadora para con la entidad que hace una mal uso con nuestros datos.
El email franquea con la ya habitual facilidad todas las protecciones de los sistemas antispam que una vez más se demuestran prácticamente inútiles ante las suplantaciones de dominios o phishing.
El email es remitido desde la IP: 69.159.63.163 con origen en Toronto Canadá mediante un servicio de correo electrónico ubicado bajo la dirección IP: 209.226.175.54 cuya ubicación también es Canadá y suplantando la dirección de email info(a)lacaixa.es propiedad de la entidad catalana.
2. En el email, con un español muy burdo, mal construído y pésimamente adjetivado se nos intenta disuadir invitándonos por nuestra seguridad a pinchar en un enlace.
Podemos observar en él incorrecciones lingúïsticas de expresión del calibre de:
Para beneficiar de las nuevas instalaciones seguir por favor el acoplamiento abajo
Seguro que el autor del phishing se trata de un no hispanoparlante pues el sentido de la expresión es a duras penas inteligible.
Si rizamos el rizo... el logotipo de laCaixa recibido en el email está lo que los diseñadores dicen... "petado" es decir modificado de forma incorrecta, forzado en tamaño y los perfiles d ela estrella azul se rompen, este detalle no es apreciable en la captura que ofrecemos en este documento pues la imagen ha sido reducida en tamaño.
3. Dicho enlace nos dirige a una web que a su vez realiza un "forward" o redireccionamiento a la dirección de internet:
http://www.bebeshoe.com/zeroboard/data2/freegallery/reda.html
5. Esta página "reda.html" no funciona, no hay nada en ella o bien ha sido borrada por la brigada de delitos informáticos con mayor celeridad que la vez anterior, donde se tardaron bastante horas en tomar medidas ante el primer ataque de phishing sufrido por laCaixa.
Profundizando en dicha dirección podemos llegar a realizar un WHOIS (interpelamos a un sistema por el nombre y datos del propietario de ese dominio) y vemos que el dominio bebeshoe.com que si fuese traducido vendría a decir algo así como "zapatos de bebé" se encuentra registrado a nombre de:
Sung Mok Kwon por allá el año 2003 aunque dudamos que este señor, o supuesto señor sea el autor del phishing... los hacker siempre se apoyan en el más débil.
Este señor, cuyo nombre y posible ocupación "zapatos para bebe" puede decirnos que es claramente de origen asiático habrá descuidado la claves de acceso a su servidor FTP, donde se publican datos de su página web para que el phisher publique sus formularios de captura de datos malintencionados.
Su web se encuentra o encontraba alojada en : http://www.web3m.co.kr/
Un proveedor asiático que se dedica a la venta de dominios y que está afincado en Core del sur.
Unas reflexiones hackernianas
Señores... ¿dónde está el cuidado estilismo y la perfección de los hackers al más puro estilo Neo... de la filosófica Matrix parte I?
¿Se está perdiendo todo el romanticismo digital... ? desde las webcams que aún siendo infinitamente útiles hacen que el chat pierda su encanto hasta estas acciones de hackeo tan torpes y desacertadas que ponen los pelos de punta por su mal hacer.
¿nos preguntamos la chapuza es hoy todavía rentable en España? ¿la gente pica?
Un poco de historia...
Antes de este intento tan barato y desafortunado... porque dudo que hagan fortuna con ello, veamos el primer ataque mediante phishing a los medios online de laCaixa, un ataque bastante mejor realizado:
Primero
fueron los BBVA y otros bancos, en España pocos pero algunos, hasta el día 10 de
diciembre de 2007 que le ha tocado el turno a laCaixa, el máximo exponente
financiero catalán con cobertura en casi todo el continente Europeo, esta vez un
caso de phishing digamos que bastante
bien donde un usuario no muy experimentado en la banca online aún contando con
una expresión escrita algo grotesca que lo evidencián como tal.
El phishing, es un vocablo inglés utilizado por
la jerga de internet para definir a lo que podríamos denominar, suplantación de
indentidad,por ejemplo, un phishing
sería la emisión de un comunicado de la empresa A que realmente no es
emitido por la empresa A, sino por un elemento B que bien podría ser desde un
trabajador de la empresa A, a una empresa competencia de la empresa A o
sencillamente un elemento desconocido y no relacionado con la empresa A. El
sujeto B suplanta la identidad de A bien gracias a la utilización de los mismos
elementos, nombres o marcas de la empresa A. El objetivo del phishing es variado, realmente busca afincarse
los valores ganados por la empresa A, bien sean datos, dinero o cualquier otro
tipo de bienes sean estos tangibles o intangibles.
Por
favor, no intente realizar absolutamente nada de lo que comentamos en este caso
de estudio, ni tan sólo dirigirse a las páginas comentadas en él, pues el
delincuente al otro lado de la acción de phishing podría recabar sus datos de accesos bancarios, por lo
tanto le rogamos encarecidamente que se limite tan sólo a la lectura del caso,
la visualización de las imágines y que tome a partir de ahora y para siempre las
máximas precauciones con sus datos bancarios.
laCaixa sufre su
primer intento de phishing
Vamos a
proceder a desgranar el comportamiento del pishing que ha sufrido hoy diez de
diciembre del año 2007 los usuarios de laCaixa, como todo phishing,
primero recibimos un email proveniente de info@lacaixa.com:
Para aquellos que no estén muy versados en
sistemas, redes y servicios de internet, suplantar un determinado dominio para
remitir un correo electrónico con LOQUESEA.com es sumamente sencillo, apenas 10
líneas de código o el uso de programas específicos para ellos nos permitirán
suplantar cualquier identidad en menos de 10 minutos.
El email lo podremos
previsualizar desde en nuestra bandeja de entrada o si le damos un doble clic
veremos el email entero tal cual le mostramos a continuación:
Si se tratase de un virus avanzado tanto la previsualización como la
apertura del mismo con el doble clic sería suficiente para infectar nuestro
ordenador, en este caso no contiene código de virus. Recomendamos siempre
disponer de un antivirus ejecutándose en su ordenador y que el mismo se
encuentre constantemente actualizado.
Tan sólo decir que se nota que
ha sido escrito por algún no hispano parlante, pues contiene faltas y problemas
de expresión, no obstante la gente a veces no lee los correos y podría dar sobre
el link de **AUTHENTICAR** con una H en medio...
Para mayor
desfachatez, el logo se encuentra vinculado directamente al servidor de laCaixa
ubicado en la dirección:
http://portal.lacaixa.es/StaticFiles/StaticFiles/4214b85e21af1110VgnVCM200000128cf10aRCRD/es/logo_laCaixa_principal.gif
Debería existir algún protocolo de protección para phishing
para estas situaciones desde los servicios de laCaixa, un punto menos para esta
entidad española.
¿Porque recibimos estos emails?
El Spam es el
trampolín del phishing
El
principio de esta acción concreta de pishing
se genera gracias a la facilidad con que el Spam o correo
no solicitado llega a nuestros buzones, pues tiene lugar tras un envío masivo de
correos electrónicos, pero ¿de dónde sacan nuestro email? y nuestra dirección la
consiguen gracias a los correos en los que los usuarios como bobos lo redirigen
a todos sus contactos, aquellos del estilo:
Si no envías este
correo a al menos 10 usuarios antes de 24 horas caerás en...
ó:
Reenvíe este correo a todos tus contactos para ayudar a
Andrea a comprarse las medicinas que...
ó:
He perdido a este hermoso niño, mi hijo, reenvía la foto...
Estos correos al final acaban con doscientas o más direcciones
en el cuerpo del mensaje, en el momento que caen en manos de un spamer son
introducidas en una base de datos para envíos de correo masivos incluso se
comercian con ellas en internet, compre bases de datos...
El
spam es una lacra de la que dificilmente nos desharemos va ligada con
Internet.
Si pulsamos sobre este link del correo, NO lo haga, iríamos
a parar una página web que realizará varias recargas, dicho link apunta
primeramente a la dirección:
http://correo15.terra.es/cp/ps/Mail/ExternalURLProxy?d=terra.es&u=ysmiguel&url=
http://jeanzmeanz.net/repair.htm&urlHash=3.918749752189234E189
Esta dirección realiza un primer forward
o redireccionado a:
http://jeanzmeanz.net/repair.htm
Si extraemos de la dirección la parte final iremos al índice del dominio,
desde donde podremos ver la siguiente escueta imagen algo ególatra:
Estos redireccionados sirven para intentar enmascarar el primer
dominio, probablemente propiedad del hacker real.
Este último dominio
"jeanzmeanz" se encuentra registrado en: "GoDaddy.com, Inc."
por la empresa EDIasia Ltd. y su nombre de dominio es resuelto por los
servidores de nombres de dominio NS.VDS200.net y NS2.VDS2000.net
Esta
información puede ser falsa, o cambiada momentos antes de la accón, pues tras
rastrear la IP, un número o especie de DNI que se encuentra detrás de cada
nombre de dominio .COM .NET .ES, etc. la IP resultante, 66.84.8.254 nos conduce
hasta Ohio en Estados Unidos.
Una simple búsqueda en Google de la
empresa EDIasia nos llevará a recabar la siguiente información:
Se
trata de una empresa ubicada en Hong Kong a nombre de Mr. John Sander,
autodenominado como Big John o el gran John, a buen seguro y debido a su escasa
originalidad en un país asiático se tratará de un sobrenombre, viniendo a ser
tan o más común que un "José García" o "Luís Pérez" en
España.
La dirección :811 Tower B Hunghom Commercial Centre 37-39 Ma
Tau Wai Roas Hung Hom Kowloon Hong Kong nos lleva al siguiente punto del
planeta:
EDIasia Ltd. es una empresa dedicada a la fabricación y
exportación de productos para el manipulado de códigos de barra...
¿Pretenderán limpiarnos nuestra cuenta bancaria los señores de EDIasia?
A buen seguro no y tan sólo se tratará de un puente que ha utilizado el
hacker, habrá encontrado o dado con la claves de un servicio FTP para subir
archivos para colocar en él los formularios calcados a los habituales
formularios de laCaixa desde donde intentará recabar nuestro nombre de usuario o
identificador, en el caso de laCaixa un dato poco seguro, el DNI del propio
usuario y una clave de 4 dígitos.
Dichos formularios se encuentra
alojados dentro del servidor de Ediasia.net concretamente en:
http://ediasia.net/es/index.htm
Y dispone de la siguiente inocente
apariencia calcada directamente de laCaixa:
Si inspeccionamos el código fuente de dicho formulario podemos
extraer diferentes conclusiones, la primera, el programador que ha tocado
adaptado o reprogramado el código javascript probablemente sea español pues los
nombres de las funciones son españoles, pudiendo encontrar nombres como :
InicializaErrores();
Esta forma de llamar a las funciones en
javascript, utilizando la primera letra en mayúsculas nos indica que no es un
avezado programador, en cambio no utilizar guiones ni espacios para la segunda
palabra si que puede indicarnos que se trata de algo más que un novato.
En la página original de laCaixa, la programación de funciones en lenguaje
Javascripts, visibles por cualquier usuario experto, disponen de funciones con
nombres en lengua catalana por lo que a buen seguro la persona que ha adaptado
el código Javascript es de procedencia española o al menos hispanoparlante.
La programación en Javascript que contienen los formularios son
controles sobre los diferentes campos del mismo, de forma que no se pueda
remitir el formulario con alguno de los controles vacíos.
En este
primer formulario donde debe introducirse el DNI y el código de acceso nos
llevará a un segundo formulario donde intentará recabar todas las cordenadas de
nuestra tarjeta, aunque parece que en este punto el hacker falla, pues sólo nos
pide 60 códigos cuando desde hace pocos días se ha incrementado a 120, no
obstante quizá 120 entradas de claves harían la operación tan tediosa para el
inocente usuario que pique que seguramente no acabe haciendo la acción y por lo
tanto no picará.
El segundo formulario donde se recaban los códigos
que permiten realizar transferencias fuera de las cuentas bancarias de uno mismo
se encuentra en la dirección:
http://ediasia.net/es/sysCtrlVrfy.php
Y se muestra
como le mostramos en la siguiente imagen:
La lenta respuesta de
laCaixa La entidad
financiera tardó dos días en reflejar en su página web un intento de hacer algo
visible en pro al usuario, en determinadas ocasiones trabajando con esta entidad
hemos constatado que el usuario es para ellos tan sólo un elemento al que se le
puede facturar y cargar de forma despiadada bajo conceptos crípticos y
comisiones abusivas, nuestro sentir para con esta entidad es bastante negativo,
no miman en absoluto al usuario, a su cliente, al que en muchas ocasiones es
proveedor de su dinero su materia prima para poder habilitar créditos a
terceros. En fin sin entrar en mayores discusiones sobre el hacer de esta
entidad en cuanto al usuario, destacamos la que aquí exponemos, su lentitud, en
lugar de avisar alertando en la página de inicio de su entidad de este ataque
realizan una maquinación cosmética y marketiniana dejando alejando el foco del
problema. Tardando dos días laborables
en ofrecer un atisbo de respuesta, no encontramos con el siguiente mensaje
colgado de su página web: Insuficiente y no aclaratorio para todos aquellos
que hemos sido víctimas del intento de phishing, lo consigan o no
deberían de intentar aclararnos el porque de ese mensaje con un
"Recientemente laCaixa..." pero eso al departamento de marketing de
laCaixa o le pone los pelos de punta o es reconocer que ellos, como todos,
pueden ser objeto de actos vandálicos, un banco una caja de ahorros debe de
mostrar seguridad y robustes "por delante de todo" ¿incluso de ocultar
la realidad? En esa página existe un link
para ampliar la información, si pulsamos sobre ese link iremos a parar a una
sección de seguridad: Estos textos en exceso son genéricos pues como
decíamos con anterioridad no se habla en absoluto del intento de fraude que ha
sufrido la entidad onde cabría una frase como "casos como el del pasado día
XX donde usted pudo recibir un email proveniente de..." Les
recomendamos una auditoría de seguridad externa, no vinculada a sus servicios de
seguridad internos, de todos los sistemas de formularios existentes en su
aplicación online así como de los procedimientos lógicos y los planes de
actuación ante estos casos, siempre desde el respeto y el derecho a la
información del usuario, nunca desde la óptica tan vacía y alejada que nos ha
ofrecido su departamento... de marketing?
El hacker con esas claves podrá realizar transferencias
hasta vaciar su cuenta bancaria, cuidado. Aunque laCaixa ofrece un servicio
caixaProtect que en principio parece cubrir estas acciones de
phishing.
Una vez cumplimentado el formulario con las
claves, sobre todo, ¡no lo haga usted!
nos dirige a la página:
http://ediasia.net/es/sysCtrlCompl.php
Desconocemos lo que realiza
esta última página programada también bajo lenguaje PHP, suponemos que remitirá
mediante correo electrónico todos los datos recabados por el hacker para su
intento de uso fraudulento.
Tras pulsar enviar (nosotros lo hemos
realizado sin rellenar absolutamente nada) su sistema no devolvuelve a la página
de inicio de laCaixa real, la auténtica.
Como todo caso de estudio de
deDavid.com donde exponemos una situación , instamos a su solución por parte de la
empresa implicada y recomendamos a todos los usuarios de todas la entidades,
desconfien de cualquier correo de su entidad bancaria, más aún, un mensaje para
todas las entidades bancarias, deshabiliten cualquier operativa mediante email
sms o similar, aunque se queden mermados de posibilidades publicitarias, es
fuerte y les dejará mancos en la sociedad de la información, pero a buen seguro
los usuarios que no dispongan de experienca en seguridad online se lo
agradecerán.
laCaixa debería revisar las llamadas a sus contenidos de
forma que no puedan ser indexados desde fuera de los dominios de la caixa, es
decir desde fuera de los .lacaixa.es .lacaixa.com etc.
A su vez no
estaría de más que revisasen en profundidad la política de utilizar como nombre
de usuario el número de DNI pues ante la sustracción o pérdida de documentación
el ladrón ya dispone de uno de los dos campos que precisa para acceder a sus
cuentas corrientes, utilizad cualquier cosa pero que no referencie al nombre
real, dni o dirección del usuario, por ejemplo otro código numérico o
alfanumérico, esto es por aquello de darme un punto de apoyo y moveré al mundo.
laCaixa con un nombre de usuario fácilmente deducible y al alcance de cualquier
malhechor informático le está entregando un valioso punto de
apoyo.
