Porque un blog????

Por aquello de que se me olvide como configuré tales y cuales cosas en mi sistema linux y android, y para no estar leyendo tutoriales y practicando a prueba y error cada vez que quiero hacer las cosas, que mejor que subirlos aqui, quizas le sirva a otras personas que quieren hacer lo mismo que yo alguna vez ya hice.
Fotos, Beryl, Compiz-Fusion, conversiones entre formatos multimedia en linux, Symbian, S60, android, flv, mp3, wma, avi, Screenlets, Karamba, Python, trabajos con diferentes dispositivos móviles, diferentes distribuciones de linux, firewalls, Mikrotik, freebsd, netbsd, openbsd, Amd64 bits, apuntes escolares, Midis, Videos de youtube "especiales", android, windows mobile, webos etc.


viernes, 23 de abril de 2010

Nuevas maneras de fraude cibernetico a bancos mexicanos

Los ciber fraudes bancarios siguen en aumento y aumentan también en complejidad y dificultad para detectarlos, auque desde el 2006 se empezaron a reportar fraudes ciberneticos bancarios en méxico, ultimamente se ha dado una nueva oleada de ataques de este tipo por toda la republica mexicana.
Sinaloa no es la excepción, les cuento mi experiencia en un caso que se dio en la empresa que laboro y espero les sirva a todos aquellos que lean este post y realizen operaciones bancarias por internet.

Todo empezo con un correo electrónico que recibio la persona "afectada" era una postal de felicitación, el abrio el enlace a la postal y le dio ejecutar (desde ahi cosa rara pues las postales verdaderas abren paginas no descargan archivos), esto lo supe por que posteriormente me indico lo que hizo paso a paso.
El correo llego es el siguiente, seguramente alguna vez les habra llegado algo similar (hacer clic sobre la imagen para verla mas grande):




Después de esto quiso trabajar con la página de bancomer y al meter sus datos de la tarjeta, la página se regresaba al inicio, no pasaba nada, no lo mandaba a las páginas de siempre de validación de token etc.
Ahi fue donde ya me aviso lo que le pasaba y se le hacia raro pues otro compañero si podia realizar operaciones en la página de bancomer sin problema.

Al ir y revisar pensando que era algo de spyware, ver procesos nuevos que se hayan ejecutado, entradas nuevas en msconfig, en regedit en fin lo comun que se revisa para detectar spyware o virus y no encontrar nada, empeze a revisar por el lado de parametros de red y me di cuenta que en su pc la pagina de bancomer resolvia a la ip 66.7.195.159 cuando bancomer.com.mx resuelve a la ip 148.244.43.x, desde ahi me sono mal el asunto, revise algunos archivos clave en la resolución de nombres dns y me encuentro que estaban cuidadosamente modificados y ocultos con la ip descrita abajo para varias combinaciones de nombre de dominio de bancomer, aqui pongo el contenido del archivo:

66.7.195.159 bancomer.com
66.7.195.159 bancomer.com.mx
66.7.195.159 www.bancomer.com
66.7.195.159 www.bancomer.com.mx

Con esto confirme mis sospechas e inmediatamente hablamos por telefono a los ejecutivos de cuenta, los cuales nos confirmaron que ultimamente han pasado este tipo de cosas, afortunadamente en nuestro caso la cosa no paso a mayores pues no se metieron mas datos sensibles a esa pagina "pirata", y nos dimos cuenta de lo que acontecia, despues en otra computadora encontramos algo similar pero para el banco banamex.com.mx

203.121.68.224 boveda.banamex.com.mx
203.121.68.224 www.boveda.banamex.com.mx
203.121.68.224 bancanetempresarial.banamex.com.mx
203.121.68.224 www.bancanetempresarial.banamex.com.mx
203.121.68.224 www.banamex.com.mx
203.121.68.224 banamex.com.mx
203.121.68.224 www.banamex.com
203.121.68.224 banamex.com
203.121.68.224 www.hacktheworld.com

Es algo realmente increible el cuidado que se le puso a la página pirata todo esta igualito, y actualizado a la página real, si se fijan la ip resuelve a una pagina de "dudosa reputación" y es precisamente en este tipo de páginas donde se pescan estos programas que afectan nuestra pc.

Hay que tener mucho cuidado con los correos que abrimos, las páginas que visitamos, las aplicaciones p2p que usamos etc, los antivirus ni por enterados se dan de este tipo de cosas.

Espero que este post ayude a que otras empresas o personas sean fraudeadas de esta manera.

Una pregunta extra que me hago es que el sitio esta activo aun, es localizable por ips y geolocalización, y demas información de registro de dominio etc;
Que los bancos afectados no podran hacer algo al respecto?, exigir que el servidor en cuestión se retire al menos, estoy seguro que mas de una persona y quizas empresa ha sido defraudada de esta manera, y estarian muy contentos si se diera con los responsables, cosa dificil esto pues el inernet es de alguna manera "anonimo", pero todo es 100% rastreable y si se quiere se puede.

ALGUNAS MEDIDAS DE SEGURIDAD AL RESPECTO

  • Instalar las herramientas antiphishing, antispyware de cada banco que se recomiendan
  • Si se sospecha que se pueda tener algo como esto en nuestra pc, verificar ips de los bancos antes de hacer tramites, el de bancomer es 148.244.43.5 y el de banamex 192.193.206.100 (pueden varia el ultimo número), ejemplo: ping www.bancomer.com.mx, es mejor ser algo paranoicos a que nos vacien las cuentas de banco o peor aun de las cuentas de la empresa en que laboremos.
  • Si abrieron algun correo como el que muestro arriba o algo parecido, si metieron datos sensibles en algun correo que les llego, en fin cualquier cosa rara reportensela tal cual a la persona de sistemas que le atienda para saber exactamente que hacer, pues a veces por pena o temor no se comenta en realidad lo que pudo haber originado el problema y asi es dificil detectar el problema.