En el primer caso es una falsificación del formato de notificaciones de consumos de Visa.
El enlace engañoso es de un sitio web legítimo y vulnerado: http://godsavethequeen.es/errror.php y el archivo PHP redirige a una página falsa alojada en otro sitio web legítimo pero también vulnerado de una empresa de servicios químicos en España http://www.tecnoquimvalles.es/Actualizacion/login2a86.html (dado de baja luego de nuestra denuncia).
Aunque ambos sitios mencionados son legítimos, nada tienen que ver con Visa. Los delincuentes aprovechan que son sitios vulnerables para plantar allí su engaño. Tendrán éxito ya que al ser sitios legítimos las victimas no serán bloqueadas por filtros de navegación al acceder a esos sitios.
El otro correo con el formato de una supuesta verificación y servicio suspendido de Visa, contiene un enlace engañoso para supuestamente activar la cuenta. Este apunta a un sitio web vulnerado de un agente de aduana en Venezuela http://aduavenca.net/site/tmp/actualizacion/actualizacion-visa.php
(dado de baja después de denunciarlo y actualmente en mantenimiento)
Origen del envío - Servidor abusado desde hace mas de 2 meses
Varios de estos correos phishing de hoy tuvieron una misma dirección de origen: 50.97.119.205Una búsqueda en Robtex nos informa que hay 5 nombres de host que tienen esa dirección IP:
Parquedelacosta.com.ar, scp.com.ar, www.parquedelacosta.com.ar, www.trendelacosta.com.ar and 50.97.119.205-static.reverse.softlayer.com point to 50.97.119.205.Con esto confirmamos lo que indican los encabezados del correo phishing Visa de hoy: estos phishing fueron enviados desde un servidor de parquedelacosta.com.ar
Encabezados de correo phishing Visa del 02/07/13
Es evidente que ese servidor está mal asegurado y están abusando del
mismo por algún medio. Pueden haber robado credenciales, o haber tomado
control gracias a alguna debilidad o mala configuración.Anteriormente el 30 de mayo pasado, hace más de 30 días, y a raiz de otro phishing denunciado, nuestro compañero Adolfo de Segu-Info tomó contacto con personal técnico de esa empresa del parquedelacosta.com.ar y le informó que se estaban originando envios de correos fraudulentos desde su servidor, ellos confirmaron el tema e identificaron el servidor, fue a raiz de un phishing Visa como este:
Encabezados de correo phishing Visa del 30/05/13
Revisando otras denuncias recibidas en Segu-Info, nos encontramos con otros dos casos: uno reciente del 28 de junio y uno anterior del 16 de abril pasado también de phishing Visa, ambos enviados desde el mismo servidor de parquedelacosta:
Encabezados de correo phishing Visa del 16/04/13
Encabezados de correo phishing Visa del 28/6/13
Evidentemente la gente de parquedelacosta.com.ar no ha dado importancia que corresponde al caso y permiten que, después de un mes de haber tomado conocimiento del tema, los delincuentes sigan abusando de su servidor para enviar correos falsos de Visa
0 comentarios:
Publicar un comentario