domingo, agosto 16, 2015

Un phishing para robar datos de militares de EEUU

Por una de esas cosas del azar, en medio de un experimento que ya os contaré en el futuro, esta noche de sábado he recibido un correo electrónico un buzón de correo por ahí perdido. En ese mensaje de correo aparecía que podía actualizar la seguridad de la cuenta, pero sorprendentemente no tenía nada que ver con un banco, así que decidí echarle un ojo extremando las precauciones.

Figura 1: Un phishing para robar datos a militares de EEUU

Lo que capturó mi atención es que no fuera de un banco, así que decidí perder un rato mirando a ver qué había detrás. El dominio que se utiliza es de la empresa USAA, y si vistáis la web oficial en https://www.usaa.com, veréis que son servicios financieros para militares y sus familias.

Figura 2: Correo de phishing recibido 

Proveen seguros para vehículos, seguros de vida, etcétera, todos para militares y familiares. Según su web, sirven a millones de personas y, como os podréis imaginaros, tienen los datos de muchas personas que pueden ser sensibles. Por supuesto, cuando se visita el enlace del correo electrónico, a lo que se llega es a otro dominio que copia la página, sin HTTPs ni certificado digital alguno.

Figura 3: Domino al que apunta el correo de phishing

Es un dominio completo, y no una URL dentro de una web infectada, pero lo curioso es que si se mira en la caché de Google, este dominio servía páginas de una empresa enfocada a un servicio totalmente distinto.

Figura 4: Web cacheada del dominio utilizado

Por supuesto, si pones cualquier combinación de usuario y contraseña se accede a la "parte interna" de la cuenta, donde se piden todos los datos posibles de las víctimas. En primer lugar el PIN de la cuenta.

Figura 5: Solicitud en la parte "interna" del PIN de la cuenta

Después todos los datos personales de la persona que haya sido víctima del engaño y acabe por entregarlos. Un formulario completo para hacer un fichero.

Figura 6: Solicitud de todos los datos personales y bancarios

Luego, las preguntas de seguridad de la cuenta, para recuperar la cuenta en el futuro. Algo que puede ayudar a robar las cuentas originales de las víctimas. 

Figura 7: Solicitud de las preguntas secretas

Curiosamente, cuando se termina de entregar todos los datos se produce una cosa muy curiosa. Hacen un redirect a la página de logoff original de la web, solo porque esa página no está protegida por ninguna sesión, así que el engaño es un poco mejor aún.

Figura 8: El logoff se hace con una URL de la web original

Visto esto, no se conforman con meter un sitio de phishing en una carpeta, sino que sustituyen la web completa haciendo un robo de dominio. Está orientado al mundo militar, lo que puede hacer que sean mucho más valiosos esos datos y, por último, aprovechan hasta el más mínimo descuido, como usar la página de logoff.

Saludos Malignos!

4 comentarios:

Anónimo dijo...

Esto que comentas tambien ocurre en España con alguna pagina web maliciosa

Anónimo dijo...

Madre mía, ¿quién se atreve a enviarle un phising a Chema? seguramente no sabrían que eras vos.

Anónimo dijo...

¿En cuál?

MaxuPixu dijo...

Correos de suplantación de la USAA llevo recibiéndolos desde hace años. Para mi son tan comunes como los de Paypal...

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares