Detectado en las últimas horas un envío masivo e indiscriminado de
e-mails simulando ser un mensaje de Banesto. El mensaje solicita a los
clientes se dirijan a una dirección del sitio web de Banesto para
reactivar la cuenta con un nuevo sistema de seguridad que evitará las
estafas.
El remite falso del mensaje aparece con el nombre de «Banesto Banca»
con dirección , y en el campo de asunto el
texto «Banesto Banca:Estimado cliente!». El cuerpo del e-mail, en
formato HTML, incluye una cabecera gráfica con el logotipo y elementos
gráficos de la imagen corporativa de Banesto, en un intento de hacer
más creíble el engaño.
Sin embargo, en la redacción del texto del mensaje pueden observarse
varias faltas de ortografías e incoherencias, no propias de un
comunicado serio de cualquier entidad, y que deben hacer sospechar a
los usuarios. Este extremo también apuntaría al origen extranjero de
la estafa.
En cuanto al apartado técnico, todos los elementos gráficos del
mensaje son descargados desde el servidor http://www.tedfahn.com/,
donde también pueden encontrarse numerosos logs de otros ataques. El
formulario falso, donde se solicita al cliente de Banesto sus datos,
se encuentra hospedado en el servidor http://www.fischers.nu/
En ambos casos es más que probable que se traten de servidores webs
legítimos que han sido comprometidos y utilizados por los atacantes
para llevar a cabo la estafa.
En el mensaje la URL de la web de Banesto aparece a simple vista
correctamente escrita, en un gráfico, que al ser pinchado redirige
realmente a la web http://www.fischers.nu/ donde se encuentra el
formulario falso.
El enlace que utilizan internamente para la falsificación se
encuentra ofuscado en el código HTML como:
[* http : //extranet.banesto.es.npage.loginParticulares.htm%01@www.%66%69%73%63%68%65%72%73%2E%6E%75 *]
Con este formato los atacantes intentan aprovechar una vulnerabilidad
de Internet Explorer para que el usuario visualice una URL concreta
en la barra de direcciones, cuando en realidad está visitando un sitio
web diferente. Esta vulnerabilidad ya fue corregida en un parche de
Microsoft en febrero de este año, y los usuarios con Internet Explorer
actualizado no se encuentran afectados ni podrán ser víctimas de la
estafa en esta ocasión.
Recordamos a los usuarios que en ningún caso deben utilizar enlaces
a los sitios web de banca electrónica que provengan de mensajes,
mecanismo habitual de los ataques «phishing», así como la necesidad
de mantener su sistema puntualmente actualizado.
bernardo@hispasec.com
Más información:
Falsificación de URL y ataque DoS recursivo en Internet Explorer
http://www.hispasec.com/unaaldia/1873
Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet
Explorer
http://www.hispasec.com/unaaldia/1927
Deja una respuesta