viernes, 26 de noviembre de 2010

Nuevo ejemplo de phising bancario: BBVA

Antes que nada comentar que ninguna entidad bancaria está excluida de ataques de phising y el comentar uno u otro es por la disponibilidad de casos recientes, dicho lo cual pasemos a analizar un nuevo phising que tiene como objetivo al BBVA

El correo incluye una imagen


En la que se nos avisa que nuestra cuenta está bloqueada y debemos reactivarla, está incluida en el e-mail con el siguiente código html que lee la imagen de la IP 88.13.187.189 que segun RIPE corresponde a un rango de Telefónica 88.13.0.0 - 88.17.144.255, donde está alojada la web de la empresa dr-windows (seguramente la ha hackeado) y coloca en la posición del tecto del link de https://www.bbvanetoffice.com/recativar.html que tecleado en el navegador nos llevaría a https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html pero que pinchando el enlace del correo (QUE NUNCA DEBE HACERSE) realmente redirige a la web http://pack1.point-1.nl/.jah.html que redirige a http://www.bbvanetoffice.pack.internetnaam.nl/local_bdno/bbx/

La web http://www.bbvanetoffice.pack.internetnaam.nl/local_bdno/bbx/ es detecta como phising por Firefox :) pero no por Internet Explorer :( habiendo sido registrado segun https://www.sidn.nl/ por

Domeinnaam internetnaam.nl
Status actief
Houder Hooftsaecke BV
Administratieve contactpersoon domains@terrabyte.nl
Registrar Terrabyte Internet Services B.V.
Markt 20
4761CE ZEVENBERGEN
Nederland
Technische contactpersonen domains@terrabyte.nl
Domeinnaamservers
ns1.megastar.nl 194.110.67.209
ns2.megastar.nl 194.110.67.210
Datum registratie 2000-04-20
Administratie door NL Domain Registry

seguramente hackeado también.

El correo procede de nobody@vps.skreened.net designates 64.131.78.111 y el código HTML en cuestión es

img name="x" src="http://88.13.187.189/.o/smeq.png" border="0" id="x" usemap="#x"
map name="x" id="x"
area shape="rect" coords="48,312,729,392" href="http://pack1.point-1.nl/.jah.html" target="_blank"

Por lo demás pocas novedades

No hay comentarios:

Publicar un comentario