Análisis de un phishing reciente de tarjeta Visa

John Doe · 05/07/07, 21:13:34

Hoy me llegó a una de las cuentas de mail de donde trabajo, un falso mail de las tarjetas de crédito Visa. Somos pocos trabajando allí, y de esos pocos, los que tienen tarjeta de crédito, ninguno tiene Visa.
Es sorprendentemente simple, pero así y todo no se necesita algo elaborado para cazar a algún tonto, sobre todo teniendo en cuenta que Visa es una de las tarjetas de crédito top del mundo, la más utilizada por gente con mucho dinero.

Primero una imagen del mail, donde pueden ver lo simple que es (click para agrandarla)

Y ahora el análisis, que será breve.

En primer lugar, como remitente figura el mail Seguridad@SecureVisa.com (lo de "Redirected by" es porque me lo dirigí del mail del trabajo a mi mail personal para revisar este mensaje desde mi casa).

El dominio securevisa.com existe, pero no pertenece a la compañía; está registrado a la espera de que alguien lo reclame y lo quiera comprar. Pero nada tiene que ver con el origen del e-mail. Lo que se dice, el mail del remitente está fraguado, fabricado.

El código HTML del mensaje no contiene ningún script, o sea que no está infectado.

Las imágenes en la parte superior ("VISA HOME" a la izquierda, y "Visa, nº1 en el mundo" a la derecha)... están alojadas en Imageshack, el famoso servicio gratuito de alojamiento de imágenes, donde cualquiera puede subir la imagen que se le antoje, como habrá hecho el creador de este mensaje. Algunos pensarán, "qué estupidez, eso lo hace demasiado evidente"; pero no es así. Los habituales receptores de estos mensajes, la gente común, no se anda fijando en el código HTML del mensaje para ver dónde está la imagen.

El resto del e-mail es texto escrito, no como en otros casos que está puesto como una imagen. Igualmente, me suena "raro" ("por seguridad de la empresa estamos Contactando con Usted").

Además de la rareza de la presencia de algunos acentos pero la falta del mismo en la palabra más evidente: "registro" en lugar de "registró".

Y finalmente el enlace, que ni siquiera está disfrazado (es decir, ni siquiera pretende engañar mostrando una dirección más creíble), dirige a
http://server-perl-cuentas.com/CentroDeSeguridadVisa_Par ticulares.com
el cual además de que obviamente es cualquier cosa menos de la compañía Visa, al momento de postear este mensaje, está fuera de servicio, no se puede acceder al sitio web, probablemente porque ya se haya descubierto el engaño.

Machine Of Destruccion · 06/07/07, 23:41:58

juaz alojadas e imageshack jaja k risa medio eso jeje aunke creo k mas dl 90% k usamos internet ksi nunk vemos en k sever tan alojadas las imagenes.

yo solo se 2 cosas para no caer en phising siendo honesto:

1.-el servidor tiene k ser https
2.-colokialment tiene k tener el candado en la parte inferion derecha o barra d estado bue mis conocimientos d esto a lado d los tuyos no son nada XD pero con la explikcion k dist me kedan claras mas cosas.

John Doe · 07/07/07, 01:00:45

Cita: Empezado por M@ÇhinЄ ۞F ÐЄ$ŧ®uÇÇ¡۞n™

yo solo se 2 cosas para no caer en phising siendo honesto:

1.-el servidor tiene k ser https
2.-colokialment tiene k tener el candado en la parte inferion derecha o barra d estado.

Exacto, con saber estas dos cosas es suficiente para estar prevenido. Para aquellos que no lo sepan, en verdad son una misma cosa, porque el candadito aparece precisamente cuando se entra a un servidor seguro (el https:// al principio de la dirección).

Gasteizkoa · 09/07/07, 14:57:32

Y, si no estoy equivocada, al pinchar en el candadito (que debe estar cerrado) con doble "clic", debería aparecer la información sobre el certificado de sitio seguro, el cual debe estar a nombre de la página que estás viendo (es decir, debe coincidir el nombre que pone en el certificado con la dirección que viene en el https) y debe estar vigente (dentro de las fechas de validez).

O al menos, así es en los dos bancos con los que yo trabajo electrónicamente.

Muy bueno el análisis John Doe.

Saludos

TRUKOF · 09/07/07, 16:56:12

Cita: Empezado por John Doe

Hoy me llegó a una de las cuentas de mail de donde trabajo, un falso mail de las tarjetas de crédito Visa. Somos pocos trabajando allí, y de esos pocos, los que tienen tarjeta de crédito, ninguno tiene Visa.
Es sorprendentemente simple, pero así y todo no se necesita algo elaborado para cazar a algún tonto, sobre todo teniendo en cuenta que Visa es una de las tarjetas de crédito top del mundo, la más utilizada por gente con mucho dinero.

Pues gracias por la info colega. aunque yo en lo personal todos esos correos sospechosos antes quenada siempre reviso su codigo html, pero como tu bien lo dijiste muchos no hacen eso. ademas aunque el asunto del mail venga urgente, ganaste , etc... Pero si yo no solicite ninguna informacion ni me inscribi en ningun concurso o similar no lo abro, pero esos tipos se aprovechan de la curiosidad que a veses dan esos titulos " llamativos".

rlascano · 11/07/07, 22:04:50

Excelente tu analisis John Doe, y muy buenos consejos de parte de todos. Creo que a veces basta con molestarse en buscar un poco de info para estar prevenido. Aunque también mucha gente usa internet sin saber nada de lo que hay detrás y por eso son susceptibles a estos engaños, como dice mi firma "cualquier tecnología lo suficientemente avanzada es indistinguible de la magia".
Suerte!

megave · 12/07/07, 16:03:56

Gracias por la informacion Jhon Doe, de gran utilidad y de tomarse muy enserio para no caer en este tipo de fraudes.

Excelentes tus analisis como siempre.

randytol_26 · 08/11/07, 15:39:10

mil gracias por la informacion ,en verdad es bastante util, y es que en verdad jamas ponemos atencion a detalles como lo que lo que tu nos muestras, muchas gracias de verdad