Evolucion del Scam para el Phishing 2

• Durante ese año se elevan consideradamente el número de scams a ebay y Paypal
  

Cuya cabecera técnica refleja el spoof:

Return-Path:
Delivered-To: webmaster@millersmiles.co.uk
Received: (qmail 21262 invoked from network); 6 Jun 2003 21:21:49 -0000
Received: from unknown (HELO mail.almtal.net) (217.16.118.12)
by server16.donhost.co.uk with SMTP; 6 Jun 2003 21:21:49 -0000
Received: from localhost (mail.almtal.net [127.0.0.1])
by mail.almtal.net (8.11.6/8.8.7) with SMTP id h56LRD008495
for ; Fri, 6 Jun 2003 23:27:16 +0200
Message-Id: <200306062127.h56lrd008495@mail.almtal.net>
From:
To:
Subject: ebaY Contest
Date: Fri, 6 Jun 2003 23:27:13 +0200
X-Mailer: sendEmail-1.40
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
HELO mail.almtal.net) (217.16.118.12) es una conexión no desde el servidor de correo de ebay el cual es: “mx5.smf.ebay.com and IP address 66.135.209.200”, sino que viene de una máquina en Viena.

También la línea: Received: from localhost (mail.almtal.net [127.0.0.1]), indica que se usa un mail Server interno en la propia máquina.



Al teclear en el link nos llevaba a la página con el formulario siguiente:




Si cumplimentabamos el mismo y lo enviabamos la información era capturada por el phisher.

• Tampoco Yahoo! Se libro ese octubre de 2003 de recibir Scams:



Donde el link también llevaba a una WebSpoofing con formulario de captación de datos:



• Y también en el 2003 aparecen los primeros phishings de datos de entidades bancarias que operaban por Internet:

Estimado cliente de BBVA,
Le comunicamos que próximamente, usted no se podrá subscribir en
Banca Online. BBVAnet es el servicio de banca a distancia que le
ofrece BBVA, disponer de este servicio le permitirá consultar su
saldo, productos y realizar las transacciones bancarias mas habituales desde su ordenador, en cualquier momento, con toda la seguridad que BBVAnet le ofrece, a través de Internet.
Si usted desea tener la oportunidad de poder registrarse en BBVAnet,
por favor acceda al sitio que se muestra a continuación.
http://w3.grupobbvanet.com/

Si usted decide registrarse en nuestra banca online BBVAnet, se le
contactara telefónicamente después de 24/48 horas confirmándole su
subscripción y le llegara una carta por correo con la información
correspondiente para que pueda acceder a su banca online en BBVAnet.
© BBVAnet 2000-2003 All rights reserved
© Banco Bilbao Vizcaya Argentaria S.A. 2000-2003 All rights reserved
Donde se observa el parecido del dominio de la WevSpoofing con el real:
grupobbvanet.com (falso) VS bbvanet.com (real)

OTRO:



En el ejemplo se emplea una de las técnicas de ofuscación de las URL’s: “Friendly login de URL’s”, en general el formato es “URL: //username:password@hostname/path”. El Phishers puede sustituir los campos del nombre de usuario y la contraseña con detalles asociados a la entidad del objetivo. En el ejemplo pone como nombre de usuario: barclays.co.uk, y de contraseña: ac=j06Ek7Hf0lVZlhhbPDDf y el hostname de destino sería: z04pro4.mail333.com. Esta URL de entrada amistosa puede engañar exitosamente a muchos clientes en el pensamiento que ellos visitan realmente la página legítima de barclays. A causa de su éxito, en muchas versiones actuales de navegadores ha dejado de funcionar este método de codificación.
Después de clikar en el link el usuario era redirigido a la verdadera página de la entidad bancaria pero le presentaban sobre la verdadera página Web una ventana con un formulario cuyos datos de introducirse y pulsar el botón que ejecutaba el envío de la información inba aparar a poder de la Organización delictiva.



CONTINUARA ...

Evolución del Scam para el Phishing

La Historia del Phishing es tan antigua como Internet, la picaresca para conseguir obtener privilegios gratuitos en páginas de pago, en servicios y en cualquier espacio protegido por datos confidenciales ha llevado a los phishers a desarrollar técnicas de Ingenieria Social apoyadas a veces por técnicas de harding para engañar al usuario y conseguir, de esta manera,los datos confidenciales.

* Las primeras referencias publicadas se remontan a las cuentas de AOL al principio de los años 90.

* 1996 Un phisher se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera información confidencial, el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura". Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requerían generalmente el uso de programas escritos por crackers, como el AOLHell.

* En 1997 AOL tomo medidas contra el phishing de forma que añadieron en su sistema de mensajería instantánea, una línea que indicaba que "no one working at AOL will ask for your password or billing information" ("nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación").

* En mayo de 2001 aparecieron Scams para conseguir las contraseñas de hotmail:

You're one of 100 hotmail winners!

"Usted es uno de 100 ganadores de hotmail", es lo que el mensaje avisa, y "solo" nos pide, que para hacernos acreedor a un regalo, llenemos el formulario adjunto en el texto HTML, con nuestro nombre de usuario de Hotmail, contraseña, un comentario, e incluso ¡una foto nuestra!.

El mensaje lo firma supuestamente el "Hotmail Staff", pero en realidad, proviene de la dirección "max@relay.1c.kiev.ua", y el código HTML recibido, posee un link a la dirección http://193.125.79.67/, la que corresponde según los registros a Tara Shevchenko Kiev University, 01033 Kiev, Ukraine.


* En julio de 2001 AOL informaba sobre un SCAM donde el usuario recibía un mensaje de su proveedor de servicios, donde se le indica que existe un error en el registro de sus datos, y que para poderle facturarle correctamente, y evitar ser dado de baja, debe actualizarlos a la brevedad. En el mensaje se muestra un link aparentemente legal a una página de facturación del propio America On Line. Si usted pulsa en el link, en su navegador se abre esta página, exactamente igual a las páginas oficiales de AOL. Allí, se le dan más detalles del presunto problema con sus datos; se le pide cortésmente disculpas por las molestias causadas; se promete que la información que el cliente estará ingresando será encriptada y solo usada por AOL; y luego se le advierte en una forma muy destacada que la dirección actual de su computadora ha sido registrada y guardada en un archivo de registro (log) para protegerlo a usted de cualquier tipo de fraude.

* También en julio de 2001 apareieron los siguientes mensajes: "Ante el asalto de un grupo de 'hackers' que robó la base de datos de MSN España sentimos comunicarle que debe mandarnos un 'e-mail' con su nombre, apellidos, dirección de 'e-mail' y contraseña antes del 15 de julio. Quien no realice dicho trámite será suprimido de nuestra base de datos."


* En junio de 2002 fueron los usuarios de ICQ quienes estuvieron en peligro al recibir un e-mail que muestra la dirección activation@icq.com y el asunto "IMPORTANT: Your Account Activation Status". El cuerpo del mensaje estaba muy bien preparado y no era diferente del sitio de ICQ. En la parte central había un formulario para el número de usuario (UIN) y su contraseña. Un script codifica una dirección Web y envía la información a la cuenta l3reA2002@hotmail.com, pudiendo ser usados para el robo de información, además de permitir al atacante apropiarse del número identificador y asumir falsas identidades.

* En octubre de 2002 Yahoo informó a la prensa que algunos de sus clientes recibieron un correo electrónico distribuido en forma masiva, en donde se les pedía dar sus números de tarjetas de crédito a supuestos integrantes de la compañía.

* En marzo de 2003 eBay informaba que los usuarios de su portal recibieron mensajes que simulaban ser alertas oficiales de PayPal. Estos mensajes, con todo desparpajo, solicitaban a los destinatarios que remitieran sus datos bancarios y números de tarjetas de crédito. Los correos electrónicos incluían el logo de las compañías, así como enlaces a sus páginas de Internet, y con un diseño muy similar al de los sitios originales. El texto del mensaje anunciaba a los destinatarios que sus cuentas de PayPal habían sido "seleccionadas al azar para ciertos trabajos de mantenimiento" (sic), y por ello, las mismas habían sido puestas en un modo al que llamaban "de acceso limitado". El mensaje, que parecía provenir de la dirección "info@paypal.com", pedía al usuario que introdujera el número de su cuenta bancaria y tarjeta de crédito en un formulario "en línea", incluido en el "e-mail".

CONTINUARA ...