Una de las vías que tienen los ciber criminales para conseguir credenciales de los usuarios de la banca electrónica es realizar ataques de phishing.

Esta técnica se lleva usando desde el principio de los tiempos y se combina con una técnica de propagación, que también podemos llamar campaña. Esta propagación se hace mediante ads (anuncios), vía correo electrónico que es lo mas común etc..

Estaba revisando mi SPAM del gmail que de vez en cuando me encuentro alguna sorpresa y este ha sido el caso.

Me ha llegado un correo comentando que había habido un problema de seguridad con mi cuenta y que debía de verificar la seguridad.

He tapado algunas cosas del correo.

email_santander

Al clicar en el enlace en realidad acababas yendo a una web que no tiene nada que ver con la web del banco.

Este es el aspecto del banco

santander_page

Para alguien que no tenga conocimiento en la materia lo mas probable es que acabe introduciendo sus datos en el phishing.

Salvo las partes que están tapadas, como veis el phishing se parece muchísimo al original, por no decir que es idéntico.

¿Como lo hacen?

Pues hay varias maneras de poner el phishing, una de las mas graciosas es colocar una imagen y que la única parte activa del phishing sea el campo de login y password.

Pero en este caso era una copia exacta de la web realizada con Httrack

httrack_santander

Así que ya sabemos que la web es copiada.

¿Como consiguieron entrar los malos al hosting y colocar el phishing?

Pues seguramente explotando alguna vulnerabilidad del site, o alguna contraseña. Para saber un poco como había ido la historia revisé el CMS que había instalado. Como no, uno de los plugins tenía una vulnerabilidad del tipo SQL injection.

joomla_sql_injection

Como veis los criminales usan estos vectores de ataque para conseguir subir el phishing a los sites legítimos. Para ellos explotan alguna vulnerabilidad conocida en el CMS para tratar de conseguir su objetivo.

Congreso Hacker Colombia