Phishing usando site legítimos

Una de las vías que tienen los ciber criminales para conseguir credenciales de los usuarios de la banca electrónica es realizar ataques de phishing.

Esta técnica se lleva usando desde el principio de los tiempos y se combina con una técnica de propagación, que también podemos llamar campaña. Esta propagación se hace mediante ads (anuncios), vía correo electrónico que es lo mas común etc..

Estaba revisando mi SPAM del gmail que de vez en cuando me encuentro alguna sorpresa y este ha sido el caso.

Me ha llegado un correo comentando que había habido un problema de seguridad con mi cuenta y que debía de verificar la seguridad.

He tapado algunas cosas del correo.

email_santander

Al clicar en el enlace en realidad acababas yendo a una web que no tiene nada que ver con la web del banco.

Este es el aspecto del banco

santander_page

Para alguien que no tenga conocimiento en la materia lo mas probable es que acabe introduciendo sus datos en el phishing.

Salvo las partes que están tapadas, como veis el phishing se parece muchísimo al original, por no decir que es idéntico.

¿Como lo hacen?

Pues hay varias maneras de poner el phishing, una de las mas graciosas es colocar una imagen y que la única parte activa del phishing sea el campo de login y password.

Pero en este caso era una copia exacta de la web realizada con Httrack

httrack_santander

Así que ya sabemos que la web es copiada.

¿Como consiguieron entrar los malos al hosting y colocar el phishing?

Pues seguramente explotando alguna vulnerabilidad del site, o alguna contraseña. Para saber un poco como había ido la historia revisé el CMS que había instalado. Como no, uno de los plugins tenía una vulnerabilidad del tipo SQL injection.

joomla_sql_injection

Como veis los criminales usan estos vectores de ataque para conseguir subir el phishing a los sites legítimos. Para ellos explotan alguna vulnerabilidad conocida en el CMS para tratar de conseguir su objetivo.


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • matix

    A pero son medio idiotas… si entran con inyeccion sql porque no sacan los datos de la bd directamente… xD a no ser que el tipo de encryptacion sea complejo claro jaja. Buen post. Saludos

  • Harold Lloyd

    SQLi en inicom.de, mal tapados los nombres de dominio, por lo demas, buen articulo.

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES