SEGURIDAD BANCARIA
Estimados como están?, bueno les cuento el dia de ayer me encontraba navegando y me topé con un scam de un banco listo para phishing en un servidor , bastante real y operativo. Con el primero que me tope fue del Banco Estado, e inmediatamente fui a la pagina del banco estado y busqué sus ejemplos de phishing y me di cuenta que estaba exactamente el mismo en sus registros. Que corresponde a este:
Como la curiosidad , siempre es más grande, decidí navegar por los directorios para ver que mas podia encontrar y el resultado fue el siguiente:
De lo importante (habian más cosas):
1.-Encontré Dos scamns para el Banco BBVA.
2.-Encontré Cuatro scamns para el Banco Santander.
3.-Encontre Uno para el BAnco BCI entre otros..
Cabe destacar que las paginas que tienen como fin el phishing y el robo de claves de la tarjeta de combinaciones para transferencias online, como así tambien de la clave de internet ( ambas necesarias para hacer los desvios de dinero) , son bastante reales incluso las redirecciones que se producen también.
Aqui la lista de scams en el servidor:
Banco BBVA: http://www.hardtrons.com/cl/bbvanet/personas.htm
Banco Santander: http://www.hardtrons.com/cl/ClaveDinamica.htm
Banco Santander: http://www.hardtrons.com/cl/view.asp_files/vsMS_data/Principal.html
Banco Santander: http://www.hardtrons.com/cl/view.asp_files/vsMS.html
Banco Santander: http://www.hardtrons.com/cl/view.asp_files/error.htm
Aqui dejo unas SS de los scams:
En el caso del scam de Banco estado, es un poco mas elaborado:
Entramos a la url:
http://www.hardtrons.com/cl/C8AA27305BBB4AD7B769656766711E4BC8AA27305BBB4AD7B769656766711E4B.asp/?STP=login y vemos lo siguiente:
Prueba de concepto: Entonces ingresamos un rut y clave falso, en este caso rut '22' , clave '22' y vemos como la valida; en caso de ser una pagina real, uno al hacer una prueba asi con anterioridad a hacer un login normal, no valida el login porque al comparar el rut con alguno de sus registros no lo identifica por lo que no deja siquiera situarnos en la clave para escribir una.; bueno sigamos y pongo Ir , con los datos falsos y sale esto:
Recordemos: Las entidades bancarias JAMÁS , les solicitaran ni la totalidad de sus combinaciones de la tarjeta de traspasos y menos su clave ya sea de internet o del cajero automatico, además recordemos que el phishing no siempre veremos la url como la vemos en este ejemplo, debido a que esto es solo una parte del phishing, ademas hay archivos que afectan a nuestros ordenardores los que permiten que veamos este tipo de sitios con una Url original , como se puede ver en los ejemplos del Banco estado en su sitio Web. Visitalo
Un saludo y atento cada vez que hacen transacciones; para que no sean victimas.
Saludos @Shinee_
No hay comentarios:
Publicar un comentario