-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 16/07/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Intento de robo de datos basado en el portal segundamano.es
-----------------------------------------------------------
Bancos, cajas de ahorro, sitios de subastas, de pago online, empresas
de traspaso de dinero, páginas de comunidades, oficinas de correos,
agencias tributarias, operadores telefónicos, páginas de búsqueda de
empleo... todo este tipo de organizaciones (y más) han sido víctimas de
ataques phishing. Ahora es el turno de los portales de segunda mano. Se
ha detectado un caso de phishing destinado a potenciales usuarios de segundamano.es que lleva activo varias horas.
El ataque ha sido detectado desde al menos el martes día 15 de julio.
Una URL que simula pertenecer al portal de anuncios clasificados (pero
que en realidad estaba alojada en una página de hosting gratuito),
pretendía ser la empresa de venta de segunda mano y robar los datos de
la tarjeta de crédito de las potenciales víctimas. El phishing solo se aprovecha de la imagen de la compañía para intentar obtener los datos de
la tarjeta de crédito de la víctima. Lógicamente, en ningún caso la
empresa está relacionada con los atacantes.
El sitio, bastante poco conseguido, pretende simular una página en la
que un anunciante debe confirmar un supuesto anuncio publicado en las
últimas 24 horas en el famoso portal español. El usuario debe introducir
el número de tarjeta de crédito, fecha de caducidad, código CVV, nombre
y NIF. Estos datos viajan al correo electrónico:
a9708767@yahoo.com
ADVERTENCIA: Aunque desde el laboratorio de Hispasec no hemos detectado
que la página pueda intentar infectar al sistema de forma automática con
algún tipo de malware, esta situación puede cambiar en cualquier
momento. El autor del phishing puede incluir la inyección de código en
la página e infectar el sistema a través de vulnerabilidades u otras
técnicas. Por tanto, visite la página de phishing bajo su
responsabilidad, pues no podemos garantizar que no pueda llegar a ser
dañino para el sistema.
El phishing sigue un patrón típico de doble URL. Un dominio gratuito securidadsegundamano.es.tc muy parecido al original que sirve de punto
de entrada y de redirección para otra URL que apunta a un hosting
también gratuito y que es donde se aloja la página en sí.
Se trata de una campaña potenciada a través de un correo basura que
anima a usuarios a confirmar su hipotético anuncio publicado en
segundamano.es. El (insistente) texto del correo basura, (el original
en HTLM), es:
*********************************
Confirma anuncio :
Tienes que confirmar en breve el anuncio de nuevo en 24 horas :
En 24 horas hay que confirmar el anuncio
El anuncio lo vamos a borrar en breve si no lo vas a confirmar en 24
horas.
El anuncio esta en nuestra base de datos solo tienes que confirmarlo .
Pulsa el enlace para confirmar el anuncio .
Pulsa aqui para confirmar sus datos :
*********************************
Hemos colgado un enlace con una imagen de la página fraudulenta aquí:
http://www.hispasec.com/images/unaaldia/segundamano.png
En realidad las probabilidades de que una potencial víctima que reciba
el correo tenga relación con segundamano.es y caiga en la estafa son
mínimas. Esto no desanima a los atacantes, que han encontrado en la suma
de estafas a pequeña escala una fuente de ingresos potencialmente más
lucrativa incluso que el ataque destinado a las grandes masas (usuarios
de Hotmail, Paypal...). Ante la continua explotación de objetivos
típicos donde el universo de usuarios es mayor, se decantan por páginas minoritarias que, aunque menos populares, presentan la ventaja para los atacantes de suponer un impacto específico para cierto tipo de usuarios
e incluso más eficaz en conjunto.
Intentos como este merman la confianza de los usuarios en la compra
online. Sabemos que desde hace tiempo cualquier organización, portal,
empresa o compañía es susceptible de sufrir este tipo de ataques,
incluso si el "target" comercial del ataque es muy reducido.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3553/comentar
Sergio de los Santos
ssantos@hispasec.com
Tal día como hoy:
-----------------
16/07/2007: Denegación de servicio a través de ficheros RAR en ClamAV
http://www.hispasec.com/unaaldia/3187
16/07/2006: Secuestro de un portátil a través de las vulnerabilidades en los controladores de dispositivo
http://www.hispasec.com/unaaldia/2822
16/07/2005: Múltiples vulnerabilidades en diversos productos Oracle
http://www.hispasec.com/unaaldia/2457
16/07/2004: Actualización de seguridad para ZOPE
http://www.hispasec.com/unaaldia/2091
16/07/2003: Vulnerabilidad en StoreFront 6.x y anteriores
http://www.hispasec.com/unaaldia/1725
16/07/2002: La NSA publica una actualización de su distribución Linux
http://www.hispasec.com/unaaldia/1360
16/07/2001: Un control ActiveX deja vulnerable a Outlook
http://www.hispasec.com/unaaldia/995
16/07/2000: Campaña Nacional Anti Virus
http://www.hispasec.com/unaaldia/629
16/07/1999: Joven detenido acusado de intentar entrar en un ordenador del Ministerio de Interior
http://www.hispasec.com/unaaldia/263
-------------------------------------------------------------------
Claves PGP en
http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:
unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:
unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec
http://www.hispasec.com/copyright
-------------------------------------------------------------------
--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet
telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)
