Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 6 de octubre de 2007

DISFRAZANDO CÓDIGOS MALICIOSOS: INGENIERÍA SOCIAL APLICADA AL MALWARE
ESET Latinoamérica acaba de lanzar un nuevo informe técnico en materia educacional que describe las distintas formas que puede adoptar el archivo de un código malicioso para engañar a los usuarios.

El artículo "Disfrazando códigos maliciosos: Ingeniería Social aplicada al malware" detalla las distintas formas que puede simular un archivo de un malware para intentar ser ejecutado por usuarios desprevenidos. La Ingeniería Social aplicada al malware muestra que a veces un archivo puede parecer innofensivo, pero en realidad es un código malicioso.


Fuente: http://www.eset-la.com

Ver más

TARJETAS VIRTUALES: "SEEING YOUR CARD"
Las tarjetas electrónicas, e-card o simplemente postales virtuales, generalmente son utilizadas para reflejar algún sentimiento hacia algún ser querido (o no tan querido) sobre todo en aniversarios, en navidad y otras fechas festivas. Existen para casi cualquier temática y de cualquier estilo, incluso hay páginas web especializadas en esta particular manera de expresión.

Es por ello, que muchas personas malintencionadas recurren a ellas para intentar infectar computadoras o distribuir códigos maliciosos y es muy “común” que las envíen a través del correo electrónico. Esta situación la transforma en un medio más que utilizan los desarrolladores de malware para distribuir sus obras.

La mayor parte de los casos de infecciones es a través del correo electrónico y siempre utilizando alguna técnica de Ingeniería Social que se aprovecha de aquello que los usuarios poseen naturalmente: la curiosidad. y en esto, los creadores de malware son especialistas.

A modo de ejemplo, se puede mencionar un gusano de Internet que en los últimos días se está diseminado por correo electrónico simulando ser una “amigable” tarjeta virtual, el Nuwar (Storm/Tibs/Peacomm/Peed según la compañía antivirus).

El Nuwar es un complejo gusano de Internet que, entre otras cosas, se mimetiza detrás de una falsa tarjeta virtual donde su modus-operandi consiste básicamente en invitar, a través de un enlace incrustado en un mensaje de corre electrónico, a descargar una falsa tarjeta virtual. En la siguiente captura se puede ver un ejemplo del correo:


Imagen 1 – E-mail con la falsa tarjeta virtual

Al hacer clic sobre el enlace para ver la falsa tarjeta virtual, se intentará descargar un archivo ejecutable llamado ecard.exe, que se trata del malware. El usuario que lo ejecute comprometerá su computadora y en forma voluntaria la “donará” para que forme parte de una extensa red de computadoras infectadas [1].

Una vez ejecutado, el código malicioso realiza una serie de modificaciones sobre el sistema operativo que en forma global se pueden apreciar en la siguiente imagen:



Imagen 2 – El Nuwar en acción

Es decir, se copia en varios sectores del sistema y abre algún puerto en la computadora desde el cual intentará establecer una conexión; una acción muy común en el malware.

Cabe aclarar que este gusano de Internet no sólo utiliza esta metodología de engaño sino que puede usar cualquier otra como por ejemplo: intentar infectar simulando, a través del correo electrónico, ser alguna oferta; brindar información de cualquier tipo, regalos, etc.

Encontrarse con casos como el de este ejemplo es muy habitual y obviamente no es la situación deseada y, sosteniendo la filosofía de prevenir a través de la educación, es recomendable tener presente una serie de consejos a los que se debería tener en cuenta para evitar caer en una de estas trampas.

En primer lugar, desconfiar de todo aquel correo electrónico que llegue en algún idioma que no es el propio; en este ejemplo se puede observar que tanto el remitente, el asunto y el contenido del mensaje están en inglés.

Por otro lado, generalmente las tarjetas virtuales no se distribuyen en archivos ejecutables, lo cual es otro serio motivo para desconfiar de su contenido, además de rechazar cualquier enlace que llegue a través del correo electrónico.

Como se podrá apreciar, es suficiente con sólo chequear algunos puntos básicos para evitar ser víctimas de esta metodología de infección y eliminar todo aquel correo electrónico del cual se tengan dudas de su procedencia. Estas recomendaciones ayudan no sólo a identificar las falsas e-card sino también a detectar las intenciones de infección válidas para cualquier malware.

La importancia de la educación como prevención de las amenazas informáticas es cada vez más importante por el constante aprovechamiento de la Ingeniería Social como herramienta de engaño, por eso, combinando la capacitación de los usuarios con un software antivirus de detección proactiva como ESET NOD32, se puede lograr la protección adecuada para no infectar los equipos [2].

Para más información:
[1] Botnets, redes organizadas para el crimen
Botnets, redes organizadas para el crimen

[2] Plataforma Educativa ESET Latinoamérica
http://edu.eset-la.com/

Información provista por ESET Latinoamérica
www.eset-la.com

Ver más

CLONACION DE SITIOS WEB: COMPROMETIENDO TU CONFIDENCIALIDAD
Dentro de la infinidad de amenazas a nivel informático que se descubren a diario, el fenómeno del phishing ocupa un lugar privilegiado en el mundo de los ataques. Esto se debe a su naturaleza intrínseca de robar datos sensibles de las personas que a menudo caen en sus trampas; lo que la convierte en la técnica orientada al robo de información, más explotada en la actualidad.

En este sentido y con el objetivo de perfeccionar cada vez más estas técnicas de ataque, nuevos vectores y metodologías van surgiendo y evolucionando con la voluntad de mejorar sistemáticamente las prácticas intrusivas. En consecuencia, la técnica denominada pharming, es utilizada en combinación con el phishing y con los códigos maliciosos para ampliar la proyección del ataque.

Bajo este escenario, los usuarios finales, las entidades bancarias y las entidades financieras de todo el mundo, constituyen los objetivos perfectos a los que apuntan los cañones de muchos programas maliciosos de la actualidad para atentar contra la confidencialidad y la privacidad de los datos sensibles a través de esta técnica.

Por un lado, el phishing es una técnica de Ingeniería Social cuyo propósito es obtener datos personales y sensibles de los usuarios a través del engaño para luego ser utilizados con finalidades delictivas.

Por otro lado, el pharming, a diferencia del phishing cuyo objetivo se traduce en la suplantación de un sitio web, consiste básicamente en manipular direcciones DNS para realizar un redireccionamiento del nombre de dominio real a una dirección IP diferente a la original.

Los DNS (Domain Name Server – Sistema de Nombres de Dominio) consisten en un sistema que permite traducir los nombres de dominio, por ejemplo: www.su-banco.com, a una dirección IP, por ejemplo: 201.61.38.216 y viceversa.

Existe un tipo de pharming particular, que se realiza en el sistema del usuario, denominado pharming local que se centra principalmente en la manipulación de un archivo de texto llamado hosts que relaciona en forma unívoca las direcciones IP con nombres de sitios web. En otros términos, este archivo es utilizado para resolver nombres de dominio a través de direcciones IP en forma local.

Este archivo se encuentra en cualquier sistema operativo y,dependiendo del sistema que se utilice, se aloja en diferentes lugares a saber:
  • En sistemas Windows 95/98/ME este archivo se encuentra en C:\Windows\Hosts
  • En sistemas Windows NT y 2000 se aloja en C:\Winnt\System32\drivers\etc
  • Cuando se trata de sistemas Windows 2003 se localiza en C:\WINDOWS\system32\drivers\etc
  • En sistemas con Windows XP se ubica en C:\Windows\System32\drivers\etc
  • En los sistemas Unix, Linux y MacOS, se encuentra alojado en /etc/hosts


Imagen 1 – Archivo hosts en Windows

El archivo hosts trabaja de manera tal que permite almacenar una tabla con direcciones web y direcciones IP. Muchísimos códigos maliciosos están preparados para explotar las bondades que ofrece este archivo, modificando o agregando las direcciones que se encuentran almacenadas en esta tabla.

El rol del malware en ataques de pharming local

Estas técnicas de ataque (malware, pharming local y phishing) utilizadas en combinación, constituyen uno de los principales y más peligrosos ataques que se llevan a cabo en la actualidad a través de Internet.

La modificación del archivo hosts se realiza agregando diferentes nombres de páginas web de entidades bancarias y financieras relacionadas a una correspondiente dirección IP apuntando al sitio a un falso.

Entonces, cuando el usuario intente ingresar a cualquiera de las entidades bancarias que figuran en el archivo, será redireccionado a la dirección IP que figura en el archivo; es decir, a la página web falsa que resulta ser muy similar a la página web original (ataque de phishing), incluso escribiendo de forma correcta la dirección de la página en la barra de navegación o utilizando cualquier programa de navegación web.

A modo de ejemplo, suponiendo que este archivo fuera modificado con la siguiente línea:

201.61.38.216 www.su-banco.com

Cada vez que se intente ingresar (escribiendo la URL en la barra de navegación) a www.su-banco.com se redireccionará al usuario a la dirección IP mencionada, que en este caso contendrá el sitio falso.

Esta es una técnica aplicada por un malware que ESET NOD32 detecta bajo el nombre de Win32/Qhost y que intenta engañar al usuario cuando ingresa a un conocido banco de México.


Imagen 2 – Ataque de Phishing a entidad bancaria

De esta manera, un usuario malintencionado puede tomar posesión de los datos que los usuarios hayan ingresado en los campos requeridos y utilizarlos, en cuestión de minutos, para robar el dinero de las cuentas de las cuales tenga la información de acceso.

Conclusión
Como se podrá apreciar, mediante una sencilla técnica, usuarios malintencionados pueden obtener un ataque exitoso: hacer que los usuarios cedan datos confidenciales que luego le permitirá realizar las acciones delictivas que persiguen.

La “fortaleza” de esta técnica radica justamente en que el usuario se confía que ha escrito la dirección correcta de la entidad a la que desea ingresar y puede pensar, erróneamente, que el sitio al que ingresa es el verdadero.

Ante esta problemática situación, resulta sumamente necesario poner en práctica todo mecanismo que, como usuario final y consumidor de las nuevas tecnologías de información, permitan mitigar este tipo de amenazas.

Conforme a esta problemática, ESET a través de su Plataforma Educativa, pretende fortalecer los conocimientos de los usuarios brindando una serie de cursos mediante los cuales se logra incorporar todos los conocimientos que son necesarios para hacer frente a este tipo de situaciones.

Fuente: Información provista por ESET Latinoamérica
http://www.eset-la.com

Ver más

¿QUÉ SON LOS ORDENADORES ZOMBIE O BOTS?

Imagina que Internet es una ciudad. Sería sin duda una de las ciudades más variadas y diversas del planeta, pero también podría ser potencialmente peligrosa y con ciertos riesgos. Dentro de esta ciudad, verías que no todo el mundo es quien dice ser. Un ordenador zombie también llamado bot, es muy parecido a esas películas de espías que tanto gustan. Un pirata informático se infiltra secretamente en el ordenador de su victima y lo usa para actividades ilegales. El usuario normalmente no sabe nada de que su ordenador está comprometido y lo puede seguir usando, aunque puede notar que su rendimiento ha bajado considerablemente.

Dicho ordenador comienza a enviar una gran cantidad de mensajes spam o ataques a páginas Web y se convierte en punto central de investigaciones de estar cometiendo actividades sospechosas. El usuario se puede se puede encontrar que su ISP (proveedor de servicios de Internet), a cancelado su conexión a la red o puede estar investigado por la policía especializada en delitos informáticos. Mientras tanto, el hacker que ha ocasionado el problema, se lamenta de la perdida de uno de sus “zombies” pero sin darle mucha importancia porque tiene muchos más. Algunas veces tiene una gran cantidad de ellos, de hecho una investigación consiguió averiguar en una ocasión, que un solo hacker había conseguido el control de un millón y medio de ordenadores, utilizándolos como plataforma para sus ataques.

El término ordenador zombie no es demasiado usado y la gente los prefiere llamar bots, que viene de la palabra robot. Una colección de ordenadores bajo el control de un pirata informático es llamada botnet. Veremos a continuación en qué consisten estos ejércitos de ordenadores preparados para actuar como un solo equipo, y bajo el mando de una o varias personas.

Proceso de hacerse con la máquina

Un hacker transforma ordenadores en bots o zombies, usando pequeños programas que puede aprovecharse de ciertas debilidades o fallos de diseño en el propio sistema operativo del equipo. Puedes pensar que estos hackers son mentes criminales superdotadas en el mundo de Internet, pero la verdad es que la mayoría tienen poca o ninguna idea de programación o conocimientos sólidos, y usan programas ya hechos que otros han creado previamente.

Muchos investigadores que monitorizan estas redes de ordenadores zombie, dicen que los programas que los están manejando son bastante primitivos y mal configurados. A pesar estas inconveniencias, dichos programas consiguen hacer lo que los hackers quieren que hagan, y es hacer que los ordenadores actúen de una manera concreta.

Para infectar un ordenador, primero, el hacker debe instalar uno de estos programas en el ordenador de la victima. Normalmente lo hacen por medio de emails, programas P2P o incluso una página Web corriente. En muchas ocasiones, estos piratas disfrazan estos programas maliciosos con un nombre y extensión de fichero diferentes, para que la victima crea que está obteniendo algo totalmente diferente. Al mismo tiempo que los usuarios se vuelven más precavidos contra ataques en Internet, los hackers descubren nuevos métodos para realizar los ataques. ¿Has visto alguna vez una ventana popup que incluye un botón de “No gracias”? No es buena idea pulsarlos y se debe cerrar la ventana con la “X” en la parte superior derecha. El botón antes mencionado puede ser solo un señuelo, y en lugar de cerrar la molesta ventana, activa la descarga de un software malicioso.

Una vez que la victima recibe el programa, lo tiene que activar. En muchos casos, el usuario piensa que el programa es otra cosa distinta. Puede parecer una foto o gráfico, un archivo de video o audio, o cualquier otro formato reconocible. Cuando el usuario opta por abrir dicho archivo para ver lo que es, nada parece ocurrir. Para mucha gente, es suficiente para activar las alarmas y poner usar algún programa antivirus o spyware al momento. Por desgracias, muchos usuarios simplemente piensan que han recibido un archivo en mal estado y lo dejan de esa manera.

Mientras tanto, el programa malicioso ya activado, se añade a los elementos necesarios en el equipo de la victima para que cada vez que lo ponga en marcha, el programa se ponga en funcionamiento. Los hacker no siempre utilizan el mismo segmento inicio de un sistema operativo, lo que hace que la detección algo más complicada para el usuario medio. El programa en cuestión, puede contener instrucciones específicas para realizar una tarea en un momento determinado, o permite directamente al hacker controlar la actividad en Internet del usuario. Muchos de estos programas funcionan sobre IRC (Internet Relay Chat), y de hecho, hay comunidades botnet en las redes IRC donde los hackers se ayudan entre si, o intentan hacerse con la red de zombies de otro hacker.

Una vez que el ordenador de un usuario está comprometido, el hacker tiene el camino libre para hacer lo que quiera. Muchos de ellos intentan permanecer en silencia y sin dar pistas de su existencia. Si alerta a un usuario de su presencia, se arriesga a perder el bot. Para muchos no es problema, ya que tienen cientos o miles de ordenadores infectados bajo su mando.

En la siguiente sección, veremos como y para qué se utilizan estos ejércitos de zombies en el mundo de Internet.

El spam sigue siendo un gran problema incluso hoy en día, donde está considerado en muchos sitios como un delito. Es una experiencia frustrante abrir tu email y encontrarnos con docenas de correos basura que no aportan nada. ¿De donde viene todo ese spam? Según el FBI, se estima que un gran porcentaje de todo ese correo basura viene de redes con ordenadores zombie.

Si el spam viniera de una sola fuente centralizada, sería relativamente fácil seguir el rastro hasta su origen y poner una demanda a la ISP correspondiente para que echaran abajo la conexión a Internet de ese ordenador y poder poner una denuncia al usuario que está haciendo spam. Para evitar que esto ocurra, muchos piratas informáticos delegan en estas redes de bots. El ordenador zombie se convierte en un Proxy, lo cual significa que el hacker está a un salto de distancia del origen de los emails de spam. Un hacker con un botnet grande, puede enviar millones de mensajes todos los días.

Estos hacker pueden configurar una red de botnets para que envíen virus o troyanos a todos los ordenadores que pueda. Estas redes de ordenadores controlados, pueden también mandar los populares mensajes de phishing, los cuales son intentos de engañar al usuario para que compartan información personal, que en el peor de los casos puede ser información bancaria. Hablaremos de esto más tarde.

Cuando se envían anuncios con publicidad de algo, el encargado del botnet configura sus ordenadores para un cliente en particular y puede hacer el envío a ciertas horas del día. Algunas empresas y particulares que quieren promocionar sus productos a toda costa y a los que no les importa si los métodos empleados son intrusitos o incluso ilegales, pagan a estos hacker para que realicen el envío de miles de correos a otras personas. La mayoría de los que reciben estos correos no pueden saber de donde viene esta avalancha de correos publicitarios. Puede que al bloquearlo, solo lo estén haciendo en uno de los ordenadores que compone toda la red “zombie”. Por ello, es algo complicado parar totalmente este flujo de correos spam.

Una persona puede sospechar que su ordenador esta siendo controlado por una tercera persona si recibe correos de personas quejándose de que están recibiendo muchos correos de este tipo de nosotros, o también si detectamos que hay muchos emails que no hemos escrito en la bandeja de salida. De otra manera, el usuario del equipo probablemente no sabrá que su ordenador está manejado por otra persona. Algunos usuarios no parecen importarle que sus máquinas sean utilizadas para enviar correos de spam como si el problema fuera de otro, y no toman las precauciones necesarias para evitar convertirse en parte de un botnet.

Ataques de denegación de servicio

Algunas veces un hacker utiliza una red de ordenadores zombie para sabotear un sitio Web específico o un servidor de Internet. La idea es bastante sencilla – un hacker le dice a todos los ordenadores que componen su botnet para que contacten a un servidor específico o a un sitio Web de forma continuada. Este repentino aumento de tráfico puede hacer que la Web o servidor se sobrecargue, impidiendo su funcionamiento correcto para usuarios legítimos. Algunas veces este tráfico provocado, es suficiente para tirar abajo el sitio de forma definitiva. Esto se llama un ataque de denegación de servicio, también llamados ataques DDoS.

Algunos botnet usan ordenadores “limpios” como parte de estos ataques. Así es como funciona: El hacker inicia el comando para empezar el ataque desde su ejército de zombies. Cada ordenador dentro del ejército envía una petición de conexión a un ordenador inocente llamado reflector. Cuando este reflector recibe la petición, no parece que el ataque se haya originado desde los ordenadores zombie, sino desde la última victima del ataque. Estos reflectores envían información al sistema de la victima, y eventualmente el sistema comienza a sufrir y finalmente cae al no poder gestionar tantas peticiones y respuestas de todas estas máquinas a la vez.

Desde la perspectiva de la victima, parece que han sido los reflectores los que han atacado el sistema. Desde la perspectiva de los reflectores, parece que el sistema de la victima ha sido quién ha requerido los paquetes de información. Los ordenadores zombie se mantienen ocultos, y por supuesto el hacker se mantiene en el anonimato.

La lista de victimas de estos ataques DDoS son innumerables, y no se libra de ellos ni siquiera las grandes compañías que operan en Internet. Microsoft sufrió un ataque de este tipo llamado MyDoom. Otras compañías asentadas en la red como Amazon, eBay, CNN o Yahoo también lo han sufrido. Algunos de estos ataques tienen ya su propia definición:

  • Ping de la muerte - Los bots crean paquetes de datos de gran tamaño y los envían a la victima.
  • Mailbomb – Los bot envían una masiva cantidad de email tirando abajo los servidores de correo.
  • Ataque Smurf – Los bot envían mensajes con paquetes ICMP a los reflectores los cuales reenvían dichos paquetes a la victima.
  • Teardrop – Los bot envían partes de un paquete ilegítimo y el sistema de la victima intenta recomponer las partes en un solo paquete y como resultado el sistema cae.

Una vez que una red de estos ordenadores zombie empieza un ataque contra el sistema de una victima, hay algunas cosas que el administrador del sistema puede hacer para prevenir una catástrofe. Puede elegir limitar la cantidad de tráfico permitida en el servidor, pero esto conlleva restringir también las conexiones legítimas a Internet. Si el administrador puede determinar los orígenes de los ataques, puede filtrar el tráfico. Por desgracia, los ordenadores pueden “disfrazar” sus direcciones con técnicas de spoofing, lo cual complica estos filtros.

Como hemos visto, algunos hackers se interesan en los ordenadores zombies para enviar spam o tirar abajo un objetivo en particular. Otros se hacen con el control de otros ordenadores como un método de hacer phising, que es donde tratan de revelar información privilegiada, particularmente información identificativa. Pueden intentar robar información de las tarjetas de crédito u otro tipo de datos buscando en los ficheros de tu disco duro. Pueden usar un programa de capturador de teclas llamado key logger para rastrear todo lo que tecleemos. En otras ocasiones, los ordenadores zombie se pueden usar para que no afecten directamente a la victima en el ataque inicial o incluso en todo el proceso, aunque el objetivo final sigue siendo poco ético.

Otra forma de usar este tipo de redes con ordenadores controlados por una o varias personas, es el click fraud o fraude en los clics. Click fraud se refiere a configurar adecuadamente un botnet para hacer clic repetidamente en un enlace específico. En ocasiones, estos clics pueden ir dirigidos a publicidad que el propio hacker tiene en una de sus Web. Algunos métodos de publicidad usualmente pagan una cantidad de dinero por el número de clics que un anuncio tenga, y por ello por ello el hacker obtiene una cantidad de dinero con visitas falsas haciendo clics fraudulentos.

Una de las cosas que más asusta de estas redes de ordenadores zombie, es que podemos acabar siendo víctimas de un robo de identidad o participar sin saberlo en un ataque a una página Web importante. Es importante protegernos contra estas posibles amenazas y saber también como descubrir si otros ordenadores tienen la seguridad comprometida.

Prevención contra los botnet

No quieres que tu ordenador se convierta en un zombie, por lo que, ¿Cómo lo prevenimos? Una de las cosas más importantes a recordar es que la prevención es un proceso continuado – no puedes pensar configurar todo de una manera concreta y esperar estar protegido para siempre. También es importante recordar que mientras navegas por Internet hay que tener sentido común y prudencia con nuestros hábitos de exploración. De otra manera estamos tentando a la suerte.

Un software antivirus es muy necesario. Ya sea un paquete comercial o uno gratuito como el AVG Anti-Virus Free Edition, hay que tenerlo activado y asegurarnos de que esté actualizado. Algunos expertos en el tema aseguran que un paquete antivirus debería ser actualizado cada hora aunque personalmente me parece exagerado.

Usa analizadores de spyware para buscar este tipo de programas de seguimiento de nuestras prácticas de navegación. Algunos de estos programas especiales incluso pueden registrar todo lo que tecleas al cabo del día y registrar lo que haces en tu ordenador. Un buen programa para defendernos es el Adware de Lavasoft. Al igual que los programas antivirus, mantenlos actualizados.

Instala un firewall para proteger tu ordenador. Los firewall pueden formar parte de uno de estos paquetes de software o estar incorporados en el mismo hardware como es el caso de algunos routers. Algunos sistemas operativos, como es el caso de Windows XP, ya llevan un firewall incorporado que se puede configurar según nuestro criterio. También nos deberíamos asegurar de que las contraseñas que elijamos sean difíciles y prácticamente imposibles de descifrar o averiguar, y no deberíamos usar la misma contraseña para múltiples aplicaciones. Esto puede ser un poco molesto al tener que recordar varias contraseñas, pero nos da un nivel adicional de seguridad.

Si tu ordenador ya está infectado y se ha convertido en un ordenador zombie, hay algunas opciones disponibles. Si tienes la posibilidad de tener un soporte técnico que trabaje en tu ordenador para limpiarlo, es una muy buena opción. Si no es así, puede buscar un programa de eliminación de virus para romper la conexión entre tu ordenador y el hacker. Por desgracia, algunas veces la única opción que nos queda es formatear el disco duro y volver a instalar el sistema operativo y todos los programas que tenías. Se deberían hacer backup de los datos regularmente por si acaso hubiera que hacer esto. Recuerda pasar los archivos del backup por un antivirus para asegurarte de que no están infectados.

Tu ordenador es un gran recurso para casi todo. Lo malo es que muchos hackers piensan lo mismo y buscan que tu ordenador se convierta en su propio recurso. Si eres cuidadoso al navegar por Internet y sigues los consejos del artículo que has leído, las opciones de que tu equipo se mantenga seguro son muy buenas.

Fuente: http://www.ordenadores-y-portatiles.com/ordenadores-zombie.html

Ver más

SCAM DE GOOGLE ACCOUNTS

Como seguramente todos sabreis, Google tiene bastantes servicios a sus espaldas, por citar algunos:
Google Adsense, Google Docs, Gmail, Blogger, Picassa

Mediante este Scam de Gmail Accounts cuyo objetivo es robar la contraseña del internauta despistado podría dar acceso a todos estos servicios de oogle mencionados.

El Scam en cuestión consiste en simular un formulario de Google cuyo título es “My Account” simulando ser un gestor para editar información personal de la cuenta de Google.

En el formulario en cuestión encontramos los siguientes campos:

Username
Password
First name
Last name
Nick name
Zip code
Country


(Una pequeña nota, el usuario intermedio si pica por primera vez podrá ver un pequeño fallo y es que el campo Password no está protegido por **** y sale la contraseña a simple vista y en el campo Country sale un desplegable con varios paises y al no estar codificado con UTF-8 salen con “carácteres extraños”)

Gmail Accounts Scam Imydes

Si llenamos los campos antes nombrados y le damos a “Save”, veremos que nos direcciona hacia
update.php” donde seguramente se almacene la información introducida en el formulario desconozco si es en BBDD o en un fichero).

Por otra parte, si entramos en la web directamente sin poner www veremos que los creadores del Scam se han olvidado de poner una página inicial para que no puedas ver el contenido del servidor raiz.

En este descuido podemos ver un sistema para enviar e-mails masivos del Scam (concretamente la dirección web es esta: http://us-gmail.com/mail.php).

También podemos ver una página web que seguramente sigue la misma dinámica que el Scam de Gmail pero es con e-Bullion (web http://us-gmail.com/e-lbullion/). Podemos ver que en el caso de e-bullion se dirige a “/secure/update.php”.

E-bullion Phishing Imydes

Créditos:

Imydes (Documentación del Scam e investigación)(www.imydes.com)
Lostmon (El descubridor de este Scam e investigación) (http://lostmon.blogspot.com)
Lostmon Group (http://groups.google.com/group/lostmon)
Gracias a XiuX, MARNI, itimad, Yeremat, Soed, Newcastle por confiar en mi.

Fuente: http://www.imydes.com/?p=117

Ver más