La web oficial de un ayuntamiento español hackeada para hacer phishing bancario.

Os reproducimos integro este articulo de internautas.org debido a que ultimamente estamos recibiendo un autentico bombardeo , no solo de phishing sino tambien de este tipo de estafa , tenedlo en cuenta os pongo algun ejemplo.

Este por ejemplo , el rollo del banco en Nigeria…

INTERNATIONAL CREDIT SETTLEMENT
OFFICE OF THE DIRECTOR OF OPERATIONS
CENTRAL BANK OF NIGERIA.

Attention: Beneficiary,

This is to officially inform you that we have verified your
contract/inheritance file and found out that why you have not received
your payment is because you have not fulfilled the obligations given to you
in respect of your contract /inheritance payment.

Secondly we have been informed that you are still dealing with the Non-
executive Board Members in this bank in all your attempts to secure the
release of your fund. We wish to advise you that such an illegal act
has to stop if you wish to receive your payment since we have decided to bring
a solution to your problem. Right now we have arranged your payment
through our swift card payment center {Asia pacific}, that is the latest
instruction from our new elected president who was sworn in on the 29 of May 2007
as the new president of Federal Republic of Nigeria Alhaji Umaru Musa Yar’adua
and the Directors Central Bank of Nigeria, this card center will send you
an VISA CARD which you will use to withdraw your money, but the maximum
withdrawal is six thousand dollars per day.

To receive your funds immediately through this way, please contact the
card payment center with the following information’s for accuracy check.

1. Your full name
2. Phone and fax number,
3. Address where you would like to receive your VISA CARD (P.O box not
acceptable)
4. Your age and current occupation
5. A copy of your identity

PLEASE CONTACT DEPUTY GOVERNOR, ACCESS CARD CENTER
Name: Mr. Ernest C. Ebi
E-mail: accountdepartment@accesscardcentre.com  

The card payment center has been mandated to issue out
USD$10,000,000.00 {Ten million USD} credited into your card as your part
payment for this fiscal year. Also for your information you have to
stop any further communication with any other persons or offices. This is to
avoid any hitches in finalizing your payment. Note that because of impostors,
we hereby issue you our code of conduct, which is (CLIENT NO: CBN:
6699/00) you must have to indicate this code when contacting the card center.

Thanks for your co-operation,

Sincerely,
Alhaji Umaru Bello Girei
(Secretary to the Board)

Y los dos ultimos phishing ..

Caja Madrid – 1 Nuevo Mensaje de ALERTA

 

Estimado/a cliente,

 

Usted tiene 1 nuevo mensaje personal de alerta. Por favor, accede a Oficina Internet y visite su buzón personal para leer el mensaje. Por favor haga clic en el siguiente enlace:

 

> ir a la oficina de internet

 

Para tu comodidad, pulse Buzon Personal

 

Caja de Ahorros y Monte de Piedad de Madrid.

* En caso Ud. tenga preguntas acerca de su relación financiera online, por favor, mandenos un Bank Mail o llamenos.

————————————————————

Caja de Ahorros y Monte de Piedad de Madrid, CAJA MADRID, C.I.F. G-28029007, Plaza de Celenque, 2. 28013 Madrid. Inscrita en el Rº Mercantil de Madrid al folio 20; tomo 3067 General; hoja 52454; y en el Rº Especial de Cajas de Ahorros con el número 99. Código B.E.: 2038. Código BIC: CAHMESMMXXX. Entidad de crédito sujeta a supervisión del Banco de España

© Caja Madrid. 2001 – 2008. España. Todos los derechos reservados

Es algo burda , pero (los links estan quitados , pos si acaso) si alguien entra , es posible no solo que le timen , si no que incluso se descargue malware.

los “links a Caja Madrid “

 

http  : // occule.be / Default.asp ? action = logon  Extraña URL de Caja Madrid

Y esta otra 

     

CAJA MADRID – AVISO DE SEGURIDAD

Estimado/a cliente, Recientemente hemos revisado su cuenta de Caja Madrid, y necesitamos más información con el fin de proporcionar un servicio eficaz. Por esta razón su acceso a la cuenta ha sido limitado. Con su colaboracion deseamos restaurar su acceso tan pronto como sea posible. Disculpe las molestias. ¿Por qué el acceso a mi cuenta ha sido limitado? Su cuenta ha sido limitada por la(s) siguiente(s) razón(es):  Tenemos razones para creer que su cuenta fue visitada por un tercero. Dado que la protección y seguridad de su cuenta es nuestra principal preocupación, hemos limitado el acceso a la cuenta de Caja Madrid. Entendemos que esto puede ser un inconveniente, pero, por favor, comprenda que esta limitación temporal es para su protección.(El identificador de su caso es CM-136-124-102.) ¿Como puedo restaurar el acceso a mi cuenta?  Por favor visite Oficina Internet y complete los “Pasos para Remover Limitaciones.” Completando toda la informacion el acceso a su cuenta será restaurado automaticamente. > Ir a la Oficina Internet    El dominio de esta otra es http    :   //esarte.   org/   login.php

 Nada que ver como veis con Caja Madrid ni que decir tiene que ademas yo No tengo cuenta en Caja Madrid…

Ahora la noticia de internautas.org

El fraude en la red llamado de diferentes formas como phishing, scam, malware, muleros, ofertas falsa de trabajo, phishing-car, medicamentos dudosos, etc. No tiene límites, esto lo demuestra una vez más un ataque detectado por el grupo anti-phishing/fraude de la Comisión de Seguridad de la Asociación de Internautas, demostrando que todos podemos ser víctimas de este tipo de ciber delitos y donde la web oficial de un ayuntamiento es hackeada por ciber-delincuentes para realizar un fraude bancario, además el servidor contiene un troyano shell script para tener el control total de este servidor.
La web oficial del ayuntamiento de la localidad Navarra de Fitero www.fitero.org esta hackeada para hospedar varios phishing bancarios, como observamos en las siguientes imágenes, el servidor afectado contiene varias páginas que simulan ser entidades bancarias y solicitan claves de clientes:

En estas capturas podemos ver ejemplos de los phishing bancarios:

 

  

Después de realizar un análisis simple de la estructura del servidor del ayuntamiento hackeado para comprobar la autentificación de los datos, observamos el fichero fuente y fichero host.txt con varias web: 

Fichero host.txt con web con dominio de Rumania: 

El análisis saca a la luz una shell para controlar el servidor hackeado: 

El peligro de esta shell es que al tener el control del servidor por parte del delicuente estos pueden obtener datos de los clientes que realizaron compras en el apartado de “comercio”: 

Datos del fuente “euro.zip” obtenido del servidor donde en teoría van los datos robados: 

Por ultimo notificación al ayuntamiento del problema que tienen en su web:

  

Después de esta investigación queda patente que desde ciertos organismos no están realizando nada bien su labor, ni con las campañas de formación ni de información, por no olvidar que estos organismos y empresas están gestionadas con dinero público.

Nos preguntamos; ¿Quiénes son los responsables de informar a la comunidad internauta sobre estos peligros y denunciar ante la justicia este tipo de sitios web para su cierre inmediato?

Recordamos que aunque muchos usuarios piensen que en este tipo de trampa es muy conocida, todavía hay miles de internautas y clientes de la banca online que “pican” en este tipo de trampa, cada día son mejores las falsificaciones y los nombres del dominio son muy parecidos al verdadero usado por la entidad bancaria.

 Fuente internautas.org

Mas datos de internautas.org anti-phishing

 Dirección electrónica si quiere denunciar web trampa o sospechosas de malware, robo de identidad, etc; phishing@internautas.org

Asociación de Internautas. www.internautas.org

Junio 16, 2008 - Publicado por portalhispano | Internet, News, Seguridad informatica | malware, Phishing, Seguridad informatica | No Comments Yet