Cutrephishing

Que el phishing está de capa caída en los medios es algo notorio y evidente. No levanta ya ni un sólo titular, con la excepción del último incidente de un banco nórdico, cuyo nombre no recuerdo ahora mismo. Por lo demás, lo poco que levanta, es para verlo:

pishing
Diario Sur de Málaga, 20 y tantos de diciembre del año pasado.

Analicemos la cantidad de chorradas que se pueden leer juntas en este fragmento:

  1. Escriben mal phishing, con lo que de entrada queda claro que el articulista conoce el phishing lo que yo conozco el punto de cruz inverso.
  2. Asocian el phishing a los virus, lo cual es equivalente a asociar la gota con el consumo de leche merengada.
  3. Asocian a los piratas informáticos con phishers, cuando éstos son delincuencia organizada.
  4. Dan a entender (subtitular) que el phishing es la opción favorita de los hackers, cuando los hackers nada tienen que ver con el phishing.

Por otro lado, los cutrephishers están que lo bordan. Lo bordan de lo mal que hacen las cosas. Este es el código HTML de un mensaje de cutrephishing que he recibido hoy mismo:

pishing

Remarco en rojo el código fuente del mensaje, en el que es fácil apreciar que los contenidos se cargan de la página oficial del BSCH. ¿Qué significa ésto? Que lo más normal es que el sitio fraudulento que se haya montado tenga también esas referencias al sitio oficial del BSCH. Efectivamente, si visitamos http://www.gruposantander.hk, veremos rápidamente que hay enlaces y contenidos que se cargan del sitio oficial de la banca de particulares de BSCH.

A poco que haya alguien pendiente de los logs del servidor Web, va a ver referers de ese logotipo que proceden de un sitio que se llama http://www.gruposahtander.hk, lo cual representa una alerta de fraude nítida y clara. Cerrar ese dominio ya es cuestión de tirar de teléfono y fax, para cortar al máximo la disponibilidad de esa Web fraudulenta. Es más, si el que está pendiente de los logs descubre esos referers a tiempo, es probable que cuando se emita el spam, el sitio ya no esté disponible. Una técnica preventiva simple y efectiva que no requiere complicarse mucho la vida, pero que los cutrephishers armados de phishing kits no terminan de entender, visto lo visto.

Podemos entender el fundamento de localización de sitios fraudulentos con un ejemplo real. En mis logs de Apache de hoy, hay una línea que dice tal que así:

83.36.X.X – – [03/Feb/2007:00:10:41 +0100] «GET /images/flexispy.png HTTP/1.1» 200 31293 «http://atoshi.blogspot.com/» «Mozilla/5.0 (Windows; U; Windows NT 5.1; es-AR; rv:1.7.12) Gecko/20050919 Firefox/1.0.7»

De esta línea, es fácil deducir que alguien de http://atoshi.blogspot.com/ está cargando en su sitio Web una imagen de mi servidor, ubicada en /images/flexispy.png. Efectivamente, si visitáis http://www.sahw.com/images/flexispy.png, veréis que esa imagen está en mi servidor, y llegar a http://atoshi.blogspot.com/2006/10/gps.html, lugar donde están efectuando el hotlinking, es cuestión de segundos. Si los chicos de atoshi, a los que mando un saludo cordial, fueran phishers, estarían cazados tan pronto yo descubriera ese referer. No hay más ciencia que ésta.

En resumen: cutrephishing en los medios, y cutrephishing en los buzones de correo, protagonizado por desgraciados de tres al cuarto que pretenden sacar dinero de los demás a base de lanzar ataques que afortunadamente, cada vez engañan a menos personas.

Por cierto, el sitio fraudulento sigue activo, al menos desde conexiones de la red IP Jazztel de España, con lo que si alguien con relación con BSCH lee ésto, que tome nota del asunto. Los usuarios que leáis este texto, tomad nota que el único sitio oficial y seguro de banca para particulares en línea de BSCH es http://www.gruposantander.es/. El dominio fraudulento que he empleado como ejemplo es, como su propio nombre indica, un sitio FRAUDULENTO. Cuidado.