Evolucion del Scam para el Phishing 2

• Durante ese año se elevan consideradamente el número de scams a ebay y Paypal
  

Cuya cabecera técnica refleja el spoof:

Return-Path:
Delivered-To: webmaster@millersmiles.co.uk
Received: (qmail 21262 invoked from network); 6 Jun 2003 21:21:49 -0000
Received: from unknown (HELO mail.almtal.net) (217.16.118.12)
by server16.donhost.co.uk with SMTP; 6 Jun 2003 21:21:49 -0000
Received: from localhost (mail.almtal.net [127.0.0.1])
by mail.almtal.net (8.11.6/8.8.7) with SMTP id h56LRD008495
for ; Fri, 6 Jun 2003 23:27:16 +0200
Message-Id: <200306062127.h56lrd008495@mail.almtal.net>
From:
To:
Subject: ebaY Contest
Date: Fri, 6 Jun 2003 23:27:13 +0200
X-Mailer: sendEmail-1.40
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
HELO mail.almtal.net) (217.16.118.12) es una conexión no desde el servidor de correo de ebay el cual es: “mx5.smf.ebay.com and IP address 66.135.209.200”, sino que viene de una máquina en Viena.

También la línea: Received: from localhost (mail.almtal.net [127.0.0.1]), indica que se usa un mail Server interno en la propia máquina.



Al teclear en el link nos llevaba a la página con el formulario siguiente:




Si cumplimentabamos el mismo y lo enviabamos la información era capturada por el phisher.

• Tampoco Yahoo! Se libro ese octubre de 2003 de recibir Scams:



Donde el link también llevaba a una WebSpoofing con formulario de captación de datos:



• Y también en el 2003 aparecen los primeros phishings de datos de entidades bancarias que operaban por Internet:

Estimado cliente de BBVA,
Le comunicamos que próximamente, usted no se podrá subscribir en
Banca Online. BBVAnet es el servicio de banca a distancia que le
ofrece BBVA, disponer de este servicio le permitirá consultar su
saldo, productos y realizar las transacciones bancarias mas habituales desde su ordenador, en cualquier momento, con toda la seguridad que BBVAnet le ofrece, a través de Internet.
Si usted desea tener la oportunidad de poder registrarse en BBVAnet,
por favor acceda al sitio que se muestra a continuación.
http://w3.grupobbvanet.com/

Si usted decide registrarse en nuestra banca online BBVAnet, se le
contactara telefónicamente después de 24/48 horas confirmándole su
subscripción y le llegara una carta por correo con la información
correspondiente para que pueda acceder a su banca online en BBVAnet.
© BBVAnet 2000-2003 All rights reserved
© Banco Bilbao Vizcaya Argentaria S.A. 2000-2003 All rights reserved
Donde se observa el parecido del dominio de la WevSpoofing con el real:
grupobbvanet.com (falso) VS bbvanet.com (real)

OTRO:



En el ejemplo se emplea una de las técnicas de ofuscación de las URL’s: “Friendly login de URL’s”, en general el formato es “URL: //username:password@hostname/path”. El Phishers puede sustituir los campos del nombre de usuario y la contraseña con detalles asociados a la entidad del objetivo. En el ejemplo pone como nombre de usuario: barclays.co.uk, y de contraseña: ac=j06Ek7Hf0lVZlhhbPDDf y el hostname de destino sería: z04pro4.mail333.com. Esta URL de entrada amistosa puede engañar exitosamente a muchos clientes en el pensamiento que ellos visitan realmente la página legítima de barclays. A causa de su éxito, en muchas versiones actuales de navegadores ha dejado de funcionar este método de codificación.
Después de clikar en el link el usuario era redirigido a la verdadera página de la entidad bancaria pero le presentaban sobre la verdadera página Web una ventana con un formulario cuyos datos de introducirse y pulsar el botón que ejecutaba el envío de la información inba aparar a poder de la Organización delictiva.



CONTINUARA ...