Detectado un envío masivo de e-mails que simula ser un mensaje del
Banco Popular solicitando a los clientes dirigirse a una dirección de
su sitio web para mejorar la seguridad de sus cuentas. El enlace, que
en apariencia conecta con el dominio bancopopular.es, en realidad
utiliza una vulnerabilidad de Internet Explorer para engañar a los
usuarios y hacer que éstos introduzcan sus datos en la página web de
los estafadores.
En la madrugada del sábado al domingo 11 de enero, varios lectores del
servicio “una-al-día” de Hispasec nos hacían llegar el mensaje
sospechando que se trataba de una estafa. A continuación reproducimos
el e-mail fraudulento:
De: Grupo Banco
Para: [e-mail destinatario]
Asunto: Importante informacion sobre la cuenta de Grupo Banco
iQuerido y apreciado usuario de Grupo Banco!
Como parte nuestro servicio de proteccion de su cuenta
y reduccion de fraudes en nuestro sitio web, estamos pasando
un periodo de revision de nuestras cuentas de usuario. Le
rogamos visite nuestro sitio siguiendo link dado abajo. Esto
es requerido para que podamos continuar ofreciendole un
entorno seguro y libre de riesgos para enviar y recibir dinero en
linea, manteniendo la experincia de Grupo Banco.Despues del
periodo de verificacion, sera redireccionado a la pagina principa
de Grupo Banco. Gracias.
https://www2.bancopopular.es/AppBPE/servlet/servin?p_pm=bo&p_pf=c&p_id=esp
El enlace, que a primera vista parece conectar con el servidor seguro
del Banco Popular, en realidad lleva incrustada una URL en formato
HTML especialmente diseñada para aprovechar una vulnerabilidad de
Internet Explorer y redirigir al usuario a la dirección
http://www.newmonc.com/gb/servin.phpEn esta dirección nos encontramos con una página web aparentemente del
Banco Popular, incluido interfaz, logotipos, número de teléfono, etc,
donde debemos identificarnos a través de varias opciones, que incluye
el número de tarjeta y PIN, o nuestra identificación y contraseña de
la banca electrónica.Debido a la vulnerabilidad de Internet Explorer, el usuario no percibe
a simple vista que se encuentra en realidad en otro servidor, ya que
en todo momento en la barra de direcciones del navegador aparecerá la
URL http://www2.bancopopular.es en lugar de la dirección real en la
que se encuentran.El pasado 11/12/2003 publicamos en Hispasec una noticia sobre esta
vulnerabilidad (http://www.hispasec.com/unaaldia/1873), advirtiendo
especialmente de las posibles estafas en los servicios de banca
electrónica. Desgraciadamente nuestra predicción se ha cumplido
al pie de la letra transcurrido un mes, tiempo en el cual Microsoft
sigue sin facilitar un parche para corregir este problema.Ya entonces recomendábamos a los usuarios, como medida de prevención,
que no accedieran a sitios web sensibles, como por ejemplo la banca
electrónica, pinchando en enlaces. Sobre todo debíamos desconfiar si
éstos nos llegaban a través de e-mail o se encuentran en páginas de
dudosa confianza.Los usuarios de Internet Explorer que quieran comprobar los efectos
de la vulnerabilidad, sin ningún tipo de riesgos, pueden dirigirse a
la página de demostración que Hispasec desarrolló el pasado mes como
prueba de concepto:
http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.htmlBernardo Quintero
bernardo@hispasec.comMás información:
Falsificación de URL y ataque DoS recursivo en Internet Explorer
http://www.hispasec.com/unaaldia/1873Demostración vulnerabilidad falsificación URL
http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.html
Deja un comentario