Buenas,
Me pasa mi amigo Antonio Valle un phishing fresquito, en el que se copia un modelo que en Estados Unidos ha tenido bastante éxito. Desconozco la edad de este atauque, pero el sitio ya lo reconoce como fraudulento Google Safebrownsing. El hecho de que la plantilla recupere imágenes por método GET directamente de aeat.es debe haber puesto en alerta a los técnicos al mando de los servicios Web de la Agencia Tributaria.
El correo tiene una forma similar a la mostrada:
El correo, bastante elaborado, apunta a un sitio web bastante elaborado también:
Los datos robados en caso de que la víctima los introduzaca son los siguientes:
Viendo que los Internautas se han hecho eco también, intuyo que ya estarán en labores de cierre. El consejo es más que obvio: no prestéis caso a este tipo de correos, y recordad que la Agencia Tributaria tiene sus propios métodos de gestión de devoluciones, que nunca pasan por pedir este tipo de datos al usuario.
Un saludo,
Buenas,
Justo al terminar de editar la noticia, he ido a inspeccionar un script llamado pas.php, al que se le pasan por POST los parámetros a robar.
name=pepe&prenume=pepe&ssn=23123321E&month=2&day=08&year=1975&
ccnumber=1234512345123451&expdate_month=2&expdate_year=2008&cvv2=123&
addr=pepe&city=pepe&state=pepe&zip=28001&email=pepe%40pepe.es&
submit.x=40&submit.y=15
Cuando he tratado de ver a dónde enviaba pas.php los datos, he visto que los contenidos han sido retirados ya del servidor.
Un saludo,
Un ataque algo cutre, por varias razones:
– Obviamente, la campaña de devoluciones de Renta está más que abordada. A estas alturas muchos son los que ya han cobrado sus devoluciones, y el perfil de usuario que gestiona su fiscalidad en red suele ser suficiente para identificar fraudes básicos y elementales.
– El ataque no ofusca HTTP ni tan siquiera se basa en un dominio «parecido» al oficial.
– Es un intento de ataque segmentado, lo cual es inteligente desde el punto de vista de la rentabilidad, pero peca de ser poco sigiloso. La plantilla de phishing toma directamente imágenes de Paypal, la propia AEAT y un servidor de una Universidad americana:
GET https://www.paypal.com/en_US/i/icon/mini_cvv2.gif HTTP/1.1
GET http://www.simcalc.umassd.edu/software/guides/computer/gifs/send_button_sp.gif HTTP/1.1
GET http://www.aeat.es/img/centb.gif HTTP/1.1
Este factor favorece enormemente la anulación del ataque, incluso antes de que se produzca, ya que el primer síntoma de que te están montando un phishing es tener referers HTTP en tus logs indicando que tus imágenes se están sirviendo en un dominio que no es el tuyo.
Tiene toda la pinta de ser un ataque de aficionado, muy probablemente apoyado en algún phishing kit. A tenor de la traducción, y conocidos los antecedentes, no es descartable que se trate de alguien en Rusia o Europa del Este.
Un saludo,
Van mejorando!!
Ahora se han comprado el dominio agencia-tributaria.eu y los enlaces van para alla!
Antonio
«…Este factor favorece enormemente la anulación del ataque…» [HTTP referrer]
OK, pero el éxito de un ataque está en las primeras 48 horas -aprox- ¿qué importancia tiene que «lo anulen» tras las 48 horas?
Esto es general para cualquier ataque de phishing.
No sé si transmito la idea… :-)
Al respecto:
(a) Tengo entendido (no soy experto) que el HTTP referrer puede ser ‘spoofed’. seguro que detrás de este detalle hay varias técnicas de spoofing y… anti-spoofing.
(b) Creo que la debilidad de este tipo de ataque se puede anular más efectivamente ( *antes* de las 48 horas) si las imágenes externas se suplantan por imágenes de alerta, disparado por un mecanismo de defensa de los sitios web legítimos.
hmmm… ¿qué se suele decir en estos casos? Ah!, ya recuerdo: «no va a caer esa breva»
(c) Otra cosa es que con ello se facilite la captura del delincuente.
Puedo estar equivocado en mis observaciones ;-) Welcome feedback.
Cuando regreses de vacaciones… imagino que comentarás el caso del Bank of India (website infectado por 36 horas):
http://explabs.blogspot.com/
http://sunbeltblog.blogspot.com/
etc (en Hispasec seguro que está tambien)
Te pongo el link de explabs… porque parece de las pocas aplicaciones que detectaba en tiempo real el comportamiento anómalo del sitio web legítimo del banco (deteccion de exploits)
Saludos,
Otros casos de seguridad curiosos: el de la marina japonesa (fuga P2P), y el de Monster.com, etc robo de CV’s, preparaos para spear-phishing, ofertas de trabajo falsas cuando sí las espera el usuario… =:o