Phishing, conocido como suplantación de identidad o simplemente suplantador, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. https://es.wikipedia.org/wiki/Phishing

Ha sido enviado a la unidad de intervención de la policia de investigación tecnológica un nuevo modelo de phishing que suplanta el site del proveedor de servicios web 1and1.

El intento de apoderamiento de credenciales comienza con la recepción en el buzón de la víctima de un correo electrónico como el que se muestra seguidamente:

Email enviado por atacante con url maliciosa preparada

En él se puede apreciar todas las carencias posibles encontradas en un correo electrónico que es falso y que emula ser de la compañía proveedora del dominio. El remitente como se puede observar es ‘root@localhost‘  primera evidencia de que no proviene de la empresa de donde “supuestamente” dice venir el comunicado.

Otro detalle delator, la firma al pie del email también nos confirma que el es un falso email. Normalmente en los comunicados de cualquier empresa real suelen venir datos fehacientes en la firma del email, no es este el caso.

Como parte del cuerpo del falso email encontramos la url donde supuestamente debemos acceder para “renovar” el dominio, si accedemos a la url maliciosa preparada, ésta nos redirigirá a un site que el atacante tiene completamente preparado para robarnos los datos que pongamos en esta web, en cualquier campo, cualquier dato.

Se puede observar ciertos detalles que nos revelan que efectivamente este sitio debe ser denunciado. Veámoslos en la siguiente imagen.

Site falso construido para robar datos

Si nos fijamos en la dirección web, lo primero que el navegador nos dice es que este sitio no es seguro; el candadito aparece tachado o lo que es lo mismo, no está activo. Por otro lado, se puede observar que la direccion web tiene como dominio: “mcastanonfincas.org

[ACTUALIZADO] El dominio usado por el atacante va cambiando, parece que ha montado una red de servidores infectados, para evitar ser atrapado. Se sabe que el dominio de donde parte el ataque comprobado es ‘bergvilla-caputh.de‘.

Según los datos del dominio es probable que parte del servidor este siendo utilizado sin el conocimiento del propietario para alojar esta página fraudulenta.

Como cualquier usuario puede ser engañado, ya se ha puesto en conocimiento de las autoridades pertinentes este nuevo ataque, con la intención de difundir a todos esta información y mitigar lo más posible su propagación.

Fuente: Micromercio

Compartir