Nuevo método de fraude bancario
|
Esta tarde, entre el spam, he recibido este mensaje:
|
2007
Efectivamente se ha encontrado "in the wild" este ataque contra usuarios de Banamex, aunque nuevo, no tanto. Hay un paper del año pasado "drive by pharming" donde se detalla esta técnica. (Drive by pharming) Los usuarios de infinitum (a quien va enfocado principalmente el ataque) deberán poner especial cuidado, pues ahora ya no basta con evitar los attachments.
Eduardo: Si, dejando a un lado la teoría, es la primera vez que lo he visto utilizar en un ataque de pharming/phishing real y masivo. La verdad es que es bastante transparente, aquí de poco sirven las soluciones de seguridad estándar que suelen tener los usuarios, ningún antivirus ha incluido la detección de explotación de esa vulnerabilidad, a ver si alguno se anima después de ver esta entrada.
Por lo que he podido ver los que reportaron las vulnerabilidades también eran de México. Aprovechando que tu tienes una visión privilegiada de lo que se cuece por allí, parece que la cosa está bastante activa, ¿no? Al menos en lo que se refiere a fraude bancario en latinoamérica se aprecia mucha actividad en los últimos tiempos.
Efectivamente, lo que hemos visto es mucho malware nacional; anteriormente se tomaba malware existente de otros países y simplemente se modificaba con respecto a las IPs de destino del phishing, actualmente hemos visto mucho software programado en México, razón por la cual los antivirus comerciales tardan más en agregar firmas del malware "made in Mexico".
También los mensajes para engañar a los usuarios han sido "tropicalizados" y ahora muestran notas referentes al ambiente nacional, como videos de actores locales, software para hacer la declaración de impuestos (donde supuestamente se ofrece un descuento del 50% en el pago de la tenencia vehicular), lo cual cumple su función de ingeniería social. Es una batalla que se vuelve cada vez más difícil y que lamentablemente no se conoce entre el usuario promedio, ya que éste se siente seguro con su antivirus, su firewall y su barra anti-phishing.
¿Se podría evitar este tipo de suplantación de dominio sí el cliente de un banco recibiese la clave pública del banco y el navegador automáticamente la usase para reconocer la web del banco mediante algún tipo de desafío-respuesta o similar? ¿O es eso lo que hacen los certificados?
Empieza a haber demasiadas formas de sustituir una página legítima por otra que no lo es....
Anónimo: en cierta forma los certificados te permiten esa comprobación, cuando entras a tu banco por https puedes verificar que se trata de tu entidad haciendo doble click en el candadito que aparece en tu navegador. Aunque hay métodos que permitirían hacer un phishing bajo SSL, la realidad es que a día de hoy los ataques son bastante "espartanos", y si los usuarios hicieran esa mínima comprobación (comprobar que la URL es la auténtica y empieza por https) sería suficiente en la mayoría de los casos (de phishing, los troyanos son otra historia).
Todavia sigue la pagina activa en cuanto tiempo tiene que estar dada de baja del hosting.
Ahora, creo que un buen método de atacar directamente el "eslabón débil" de la cadena, es que en lugar de que el usuario verifique la validez del banco, sea a la inversa. Esto se lograría si en lugar de ingresar una OTP, el banco usara el esquema PKI pero autenticando al usuario, es decir, que este último tuviera su certificado firmado por la PKI y por tanto un phisher requeriría robar también la llave privada del usuario.
La otra posibilidad es la utilización de un token USB, donde la criptografía se llevara a cabo externamente a la computadora (ordenador) en cuyo caso ni un troyano podría robar la llave privada. En fin, soluciones las hay, pero los bancos tampoco piensan invertir tanto que "lastime" sus bolsillos.
yo recibí muchos, hasta de bancos que no conocía jeje
yo ya la habia resivido en mi bandeja de entrada pero con solo verlo pense que se trataba de phising
!_! pfff
Este ataque lo he visto antes pero a nivel de archivos de host, no del router. Por lo visto el rango de ataques de esta mafia esta ampliandose.
Buenas tardes compañero, a mi también me ha llegado varias veces una supuesta tarjeta de Gusanito, nada ,mas que al intentar abrirla me pide descargar un archivo .exe que obviamente nunca he descargado. Cuando vuelva a recibir el mail tomaré nota del archivo y se los haré saber.
Por otro lado te agradezco la info de Banamex ya que ahi tengo cuentas y entro con regularidad a bancanet, de ahora en adelante tendré mas cuidado con esto.
AG
bueno bueno ya era hora ke se dieran cuenta, ese metodo me ha dejado mucho dinero es mi web y es mi letter editada por mi hace dias me compro una camioneta :P ese metodo y jodiendo a gente de banamex vaya vaya grax internet, saludos a todos.
Alguien me podría explicar, ¿qué es lo que hacen estas personas dentro de BancaNet que les permite extraer fondos de nuestras cuentas?
Me refiero a que esa persona que ya sabe el núm de cliente, el passw y hasta la clave dinámica del momento se conectara en lugar de nosotros a nuestro portal BancaNet.
¿De qué manera es que nos roba los fondos? Se me haría extraño que se depositara el dinero a una cuenta de su propiedad, ya que Banamex tiene registrado a dónde se fue el dinero y sería posible que la policía diera con los atacantes, ¿o me equivoco?
A ver si a alguien se le ocurre de qué manera es que saquean las cuentas y que lo pudiera compartir para interés y seguridad de todos nosotros.
Un saludo,
Estas personas roban de cuentas de banamex que tiene clabe alfanumerica (numeros y letras) ya que son las que tiene permisos para hacer transferencia a terceros e interbancarios, las cuentas con password numerico no pueden hacer nada, pero ellos mandan a cuentas fantasmas aun asi banamex teniendo los datos pues es secreto bancario y pues no pueden dar informacion si no imaginen cuantos estarian presos y no es asi, cuando veremos que digan algo en la TV jamas, nose por que corrupcion? Saludos
Yo soy usuario banamex y de bancanet, hago trans por internet constantemente, me llegan desde hace ma de dos años este tip de mails, nucna los abri..
tengo un modem 2wire y tengo problemas al intentar entrar a www.banamex.com.mx, le doy y simplemente no entra, no hice caso a esto hasta el dia de hoy que se comento en cas ( su casa ) que mi hermano tempoco podia entrar desde su computadora, misma que esta conectada al mismo router. si tecleo www.bobeda.banamex.com.mx si entro y asi es como utilizo los servicios de banamex, pero tengo una cuanta alfanumerica y todo lo que se ah comentado aqui es mi caso, la pregunta es... que puedo hacer con esto? alguien me puede ayudar? y que podria ahcer para reparar esto?
de anetemano , gracias por su ayuda,
Rafa_ arambula01@hotmail.com
Me parece muy interesante, y por fin entiendo, qué diantres está haciendo mi browser que insiste en redirigir mi conexión de Banamex a páginas de imitación (tan malas que se notan a leguas). Es sólo que no encuentro la manera de corregir el problema. ¿Hay algún remedio, una vez que el ruteador 2W 1800HW fue reprogramado por el "gusanito".?
Bueno, hasta el día de hoy no nos habíamos dado cuenta, afortunadamente el día de hoy nos dimos a la tarea de leer al respecto y reconfigurar nuestro 2wire.
Para la reflexión: Por lo que he visto, no se trata de un ataque aleatorio, los mensajes llegan a usuarios de banamex!!! es decir, si toda la información que depositamos en el banco es confidencial, cómo llegan a nuestras direcciones de correo? mi hipótesis es que
a) o banamex vendió sus bases de datos a un tercero
b) banamex promociona sus tarjetas a través de un tercero o empresa de marketing, este tercero a su vez también debería está obligado a guardar confidencialidad de nuestras cuentas... como garantizar que estas empresas de marketing no vendan sus bases de datos obtenidas del banco para dañar a los usuarios del mismo?
En otro vértice de ideas, Telmex hace mutis al respecto! no es posible que distribuyan este tipo de routers vulnerables sin advertir al usuario de las posibles repercusiones que pueda tener?
Diganme paranóico, pero aqui hay gato encerrado!
Hola, necesito ayuda, he sido una de las ingenuas que abrio la tarjeta del gusanito, pensando que era por las fechas navideñas, en un dia me robaron 3 veces, les platico para que tengan cuidado: al tener durante 2 semanas problemas para ingresara a Banamex para realizar transferencias, acudí a mi sucursal, ahi me informaron que Telmex había restringido el acceso por "problemas técnicos", pero que aún así, ellos no habían tenido reportes de problemas de acceso a su página, que solamente Prodigy me podría ayudar, básandome en su respuesta, me comunique con ellos, y después de cási una hora por teléfono, me desbloquearon la página, así que con la confianza que supuestamente me dieron de que todo estaba correcto, accedí a banamex sin problemas, que gran error, pues era una página falsa !!!!! Mi pregunta es que hago ahora, que debo buscar en mi computadora para eliminar las direcciones falsas, mi antivirus no me registra ningun virus y también, como reconfiguro mi 2wire?? Muchas gracias por la ayuda que nos brinda bquintero y todos los comentarios de los demás por medio de esta página, el tip del candado es excelente, les aseguró que no lo olvidare
En mi empresa tambien me ataco una variacion de este proble sobre un router 2Wire 2700HG lo elimine abriendo la pagina de administracion del router http://192.168.1.254/mdc y en la opcion de "Resolución de DNS " ahi elimine las tablas de ruteo que me redirigian al IP 189.180.80.86 el metodo fue que rompieron la clave de mi router e incrustaron en la tabla de resolucion de DNS las direcciones de
bancomer.com
bancomer.com.mx
boveda.bancomer.com
etc etc.
previo a esto tuve que resetear la clave de mi router para poder limpiarle
hola amigos veo varios aqui que tienen el problema de que una pagina inserta los dns falsos en el router, para que no les vuelva a pasar solucionarian el problema desactivando o apagando la función UPnP del router.
Existe mucha noticia al respecto de esto pero no he visto que alguien ponga una solucion, Espero que esa si les sirva.
Por cierto ami aunque le cambie de password siempre lo eludio.
Asi que cambiando el password por lo menos en mi modelo siempre sigue bulnerable.
Saludos desde Yucatan.
Pueden consultar la siguiente liga del UNAM-CERT donde explica la forma de validar si esta afectado y como eliminarlo
http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=5534
saludos
Hola.
No entiendo mucho de estas cosas, Pishing, pharming u otro sistema
Lo que si se es que las autoridades mexicanas estan cerrando los ojos a estas situaciones de robo, los bancos, no han podido hacer nada al respecto, quieren que la responzabilidad sea nuestra, pero ellos tienen la responsabilidad, es un servicio de ellos hacia nosotros.
siendo asi, no va a quedar otra alternativa que de alertar al publico usuario de estos servicios, acabar de una vuena vez, Pagos de servicios SAT, trabajadores que no tienen tiempo de hacer largas filas, empresarios, (CLIENTES) que deben tener una seguridad 100% por parte del banco.
Ustedes digan en México, que podemos hacer,
1) Mandar cadenas de estos metodos a todos para invadir la red?
2) Dejar de recibir este servicio?
3) Demandar al banco?
4) o que?
Estoy enojado por esto, quien se beneficia?
EL BANCO; porque de cualquier forma le tenemos que pagar a el.
Hola, yo tengo el mismo problema y acabo de descubrir que el ataque se dá moficando los servicios de DNS directamente en el modem de infinitum. En mi caso tengo un modem 2Wire alámbrico modelo 2071. Para acceder al modem y verificar el problema deben entrar usando su navegador de internet (internet explorer, firefox, etc) a http://192.168.1.254/mdc
Se trata de la consola de administración del modem 2Wire. En el lado izquierdo hay una serie de links, deben entrar a Resolución de DNS (Menu Avanzado, casi al final de la página). En esta sección encontrarán que aparece el portal de banamex.com y otros con IPs falsas. En lugar de que la dirección sea resuelta mediante un servidor de DNS, arrojando la dirección válida de banamex (192.193.XXX.XXX) el modem resuelve enviandolos a la página pirata que busca robar la indentidad. El problema es muy serio ya que en teoría el modem está protegido por una contraseña pero el script borra la contraseña y accede a sección en que se asigna la resolución de DNS. Telmex y Banamex están enterados del problema pero no veo que tengan ninguna intención de resolverlo. La solución es una nueva versión de firmware en los modems evitando que la contraseña pueda ser borrada tan facilmente y por ende permitiendo la modificación de la resolución DNS (Domain Name System o Domain Name Service).
Suerte
Sergio Nogueira
yooooooooooooo
Menos mal que en http://www.bancorpinternational.com no pasa esto ellos manejan un sistema de seguridad y les dan a sus clientes una serie de recomendaciones para que no caigan en esto fraudes.
bueno yo recomiendo esto..no se que tanto dure pero hasta ahora me a funcionado.... entren a la siguiente carpeta de su pc...
C:\WINDOWS\system32\drivers\etc
den doble click al archivo que dice hosts
elijan "Aplicación MFC wordpad"
en este archivo solo debe de tener una leyenda con el siguiente host
"(direccion ip local) localhost"
todos los que hagan referencia a bancos borrenlos...
guarden, accesen a la pagina de su banco... y despues verifiquen que no aparescan mas estos hosts en este archivo.. no deben de aparecer mas...
les recomiendo que se abstengan de instalar programas como e-donky, kaaza, e-mule, y todos esos para bajar musica, videos o programas ya que estos programas abren puertos a la vez que son imperseptibles para los firewalls...
espero les ayude... saludos...
Muy recomendable los consejos sobre todo el de el archivo host saludos!
visita www.paseusted.org esta de wow
te amo mucho
Entrar a la página de configuración del 2wire y eliminar los DNS que tenga dados de alta de forma manual. al menos en el 2wire que yo tengo si me salen las direcciones del banamex redirigidas a otro lado.
Espero les sirva.
Desde la hermosa ciudad de las flores;)
eso muy fraude esta infectada fuiste el miles eso www.cascanolahack.org pero no puedo a Denunciar a dominio
todos se quejan y quiciera poder eobar la cuanta de quien sea pero el unico problema es de que au no saben como hacerlo jajajaja
Estas personas roban de cuentas de banamex que tiene clabe alfanumerica (numeros y letras) ya que son las que tiene permisos para hacer transferencia a terceros e interbancarios, las cuentas con password numerico no pueden hacer nada, pero ellos mandan a cuentas fantasmas aun asi banamex teniendo los datos pues es secreto bancario y pues no pueden dar informacion si no imaginen cuantos estarian presos y no es asi, cuando veremos que digan algo en la TV jamas, nose por que corrupcion? Saludos
Por otro lado te agradezco la info de Banamex ya que ahi tengo cuentas y entro con regularidad a bancanet, de ahora en adelante tendré mas cuidado con esto.
Laptop Battery Laptop Battery Laptop Batteries Laptop Batteries discount laptop battery discount laptop battery notebook battery notebook battery computer battery computer battery replacement laptop battery replacement laptop battery notebook batteries notebook batteries
Reemplazando "nospam" por "com"
La publicación de comentarios está deshabilitada. Visita el nuevo blog