Saltar al contenido

Ataque phishing a los clientes de Bancaja

En el día de hoy he recibido un mensaje en mi buzón de correo con remitido por BanCaja.es [email protected], con el asunto Bancaja te informa y el siguiente texto junto con el logotipo de la caja:

Apreciado Cliente:

– Nuestro nuevo sistema de seguridad le ayudara a evitar frecuentes transacciones de fraude y a guardar sus aportaciones.

– A causa de la modernizacion tecnica le aconsejamos a reactivar su cuenta.

Haga “click” en la referencia de abajo para entrar y empezar a usar su cuenta renovada.

Para entrar en su cuenta, por favor, visite https://www.bancaja.es/bbc/gifs/CAS/client/id.php

En caso Ud. tenga preguntas acerca de su relacion financiera online, por favor, mandenos un Bank Mail o llamenos.

Apreciamos mucho su negocio. Atenderle es un verdadero placer para nosotros.

Aunque a primera vista parece que se trata de un mensaje de la entidad financiera, claramente se trata de un ataque phishing, es decir, un intento de estafa que intenta obtener los datos de los usuarios a través de una página web falsa, que imita a la página real de la caja.

La URL (dirección de la página que se muestra) sí que pertenece a Bancaja (aunque actualmente no está operativa), pero el “engaño” se debe a que al pulsar sobre dicho enlace se conduce al usuario a otra página que nada tiene que ver con la esperada. La URL exacta a la que se redirecciona es:

http://reactivar.multicuentas.com/bancaja.es/

En estos momentos hemos intentado acceder a la página y el acceso ya no es posible, suponemos que debido a que ya ha sido desactivada por su proveedor a petición de alguna autoridad judicial española. El subdominio reactivar.multicuentas.com redirecciona a la IP 127.0.0.2

Estudiando el origen del mensaje de estafa vemos que el mismo ha sido enviado desde la IP 193.85.160.198 que pertenece a un usuario de la República Checa. Desconocemos si se trata del emisor real del mensaje o si ha sido enviado a través del ordenador de una tercera persona que ha sufrido un ataque hacker y utilizan su equipo para realizar actividades delictivas (esta es la opción más habitual utilizada entre los “buenos” estafadores). Además, el mensaje se ha enviado a través del servidor de correo de foxconn.com, que es una empresa tecnológica de Taiwan.

Por otro lado, también hemos comprobado la titularidad del dominio multicuentas.com, que es donde se encontraba alojada la página fraudulenta y hemos obtenido los siguientes datos.

Whois multicuentas.com
> whois.opensrs.net
Registrant:
Claudio Bullorini Consulting
Salguero 1983 5to A
Capital Federal
Buenos Aires, BA 1425
AR

Domain name: MULTICUENTAS.COM

Administrative Contact:
Bullorini, Claudio [email protected]
Salguero 1983 5to A
Capital Federal
Buenos Aires, BA 1425
AR
5411 15 5061 3479
Technical Contact:
Support, Technical [email protected]
2, Tamarack Circle
Fishkill, NY 12524
US
+1.8458964602 Fax: +1.8458962535

Registration Service Provider:
Misk.com Support, [email protected]
845-896-4602
845-896-2535 (fax)
http://www.misk.com
This company may be contacted for domain login/passwords,
DNS/Nameserver changes, and general domain support questions.

Registrar of Record: TUCOWS, INC.
Record last updated on 28-Sep-2006.
Record expires on 30-Jul-2007.
Record created on 30-Jul-2002.

Domain servers in listed order:
NS1.AFRAID.ORG
NS2.AFRAID.ORG
NS3.AFRAID.ORG

Se puede comprobar que el dominio en cuestión pertenece a Claudio Bullorini, un argentino que al parece lo tiene registrado desde Julio de 2002. Casi con toda seguridad suponemos que esta persona nada ha tenido que ver con la estafa, ya que los estafadores suelen registrar dominios nuevos para realizar las fechorías (nunca son dominios registrados desde hace tanto tiempo), y lo que nunca hacen es poner sus datos personales en los datos de registro, incluidos su número de teléfono y e-mail. Por lo tanto suponemos de que el dominio ha sido objeto de un ataque hacker, y que posteriormente ha sido utilizado para realizar la estafa, para de esta forma garantizar el anonimato de los delicuentes.

Hemos intentado comunicarnos con los propietarios del dominio para conseguir más información, pero no ha conectado a su messenger y su teléfono móvil se encuentra apagado. Seguiremos investigando en los próximos días y cualquier información adicional será actualizada en esta misma página.

Después de esta información, recomendamos a todos los usuarios de Internet que NUNCA faciliten sus datos cuando les sean solicitados por correo electrónico (aunque la fuente parezca fiable), y que NUNCA accedan a las páginas de empresas (bancos, correo electrónico, etc.), a través de enlaces, sino que lo hagan tecleando directamente en su navegador la dirección de la empresa, por ejemplo www.bancaja.es ó www.hotmail.com