Análisis de caso: Phishing por posible fraude en tarjeta de crédito



En los últimos días, varios clientes de un importante banco de la industria nacional,  han sido advertidos mediante correo  electrónico, de que se ha detectado un posible fraude con sus tarjetas de crédito.

Orand ha realizado un breve análisis del caso:

El mail  informa sobre un posible caso de fraude e indica que para cancelar la operación se debe  hacer click en un link.

El asunto del mensaje es: “Posible fraude en compra con su tarjeta de crédito” y el cuerpo del mensaje se puede ver aquí:

Este es el código html del correo:

Banco de Chile - TEF
 
 
 
 
Comprobante de seguridad
Estimado(a) 
Le informamos que se detecto por nuestro sistema de seguridad un posible fraude
con su tarjeta de credito banco de chile, en el caso de aceptar que esto es un fraude y cancelar esta compra hacer click AQUI
 
Compra realizada
 
 
 
Datos de compra
 
 
Fecha:
29/03/2012
 
 
Tienda:
Claro Chile S.A
 
 
 
Producto:
Recarga online por $125.000
 
 
Monto:
$125.000
Número de Comprobante:
0000000062345998
 
 
 
 
 
 
 
 
Infórmese sobre la garantía estatal de los depósitos en su banco o en SBIF© 2007, Banco de Chile. Todos los Derechos Reservados.

El link “AQUI” lleva a un sitio que está alojado en Chile:  http://200.54.186.251/reportesdemercado/bancochile.php

El WhoIs de la IP 200.54.186.251, nos indica lo siguiente:

Este link actualmente esta redirigiendo automáticamente al sitio real del banco.

Conclusiones

Si bien se trata de un caso clásico de phishing, hay dos cosas interesantes.

  • La primera es que el mail llega clientes reales del banco, por lo que de alguna manera el atacante tuvo acceso a direcciones de correo de clientes de la banca online.
  • Lo segundo es que la página reside en un servidor de una empresa, el cual seguramente fue subido usando alguna vulnerabilidad del servidor web PHP.