EspañolSitio Phishing - robo de identidad a hotmail
El UNAM-CERT recibió una notificación en donde se informaba sobre una posible campaña de robo de identidad. La amenaza llega por correo electrónico como un aviso de una posible actividad fraudulenta del usuario o de la dirección de correo electrónico.
El correo hace alusión a una de las estrategias más comunes utilizadas por los atacantes en correos fraudulentos, el sentido de urgencia que incita a los usuarios a actuar rápido para no verse afectados en el servicio al que se hace referencia en el correo: “Si en las próximas 48 horas…”
Al acceder a la liga que ofrece la solución al problema planteado en el correo, se ingresa a un sitio que nos redirreciona a otro servidor, el cual a su vez nos lleva a otro servidor más en donde vemos una página muy similar a la de “Hotmail”.
Al realizar el análisis de las muestras obtenidas de los diferentes saltos, nos damos cuenta que en el redireccionamiento no se utiliza código JavaScript, como normalmente se hace; lo que modifican son las cabeceras del archivo escrito en HTML para qué sea más difícil la detección de alguna actividad maliciosa.
http://www.xxx.org/modules/mod_custom/tmpl/
http://xxxwildcat.writingnovelsthatsell.com
Dentro del sitio al que fuimos finalmente redirigidos, se ingresaron credenciales falsas de acceso con las que fue posible observar como son redirigidas a otro servidor.
Se recomienda tener desactivada la ejecución de código Java Script en el navegador, ya que podría ejecutarse código malicioso. Verificar que al sitio a donde se va a acceder sea confiable, uno de los pasos más importantes para esto es verificar la barra de dirección y cotejar que la dirección se acorde al sitio que visitamos.
- Inicie sesión para comentar
English
