Ayer leí este tweet en el que avisaban que estaban haciendo phishing
Están enviando e-mails de phishing de Itau para robar datos. Cháke.
— Daniel Duarte (@dduart3) May 10, 2012
Como se puede ver el remitente no proviene de itau.com.py como tendría que ser si fuese un correo institucional y el link que dice http://www.itau.com.py realmente lleva a otro dominio hospedado en china, en la siguiente imagen se puede ver la copia de la pagina principal de Itaú(en la barra de dirección se ve que el dominio no es el de Itaú)
Si ingresamos algún valor en el campo documento nos lleva a la siguiente pantalla(copia exacta nuevamente del sitio de Itaú)
Nos pide ingresar el número de cuenta, una vez mas se puede ingresar cualquier numero aleatorio ya que lo que realmente quiere el criminal está en la siguiente pantalla
Normalmente aquí estaría el teclado numérico en pantalla para ingresar el PIN pero en este sitio, el atacante pide para ingresar los datos de la tarjeta de crédito necesarios para realizar cualquier compra online para que al llenar los datos y darle "Siguiente" envíe la información al atacante.
Despues de esta pantalla aparece una de agradecimiento para luego redirigir al sitio web oficial de Itaú para no levantar sospechas.
Cabe aclarar que la institución bancaria no puede hacer practicamente nada para evitar estos tipos de estafa, mas que advertir a sus clientes, es cuestión de que el usuario se informe y para evitar caer en esto.
Siempre antes de ingresar datos sensibles hay que comprobar que el sitio sea el que realmente dice ser y que la autentificación sea segura(o al menos mas segura), un parametro puede ser el icono del candado en la barra de direcciones, ejemplo:
Probablemente el sitio de china(vpcomponents.com) tampoco sabe nada del asunto, el atacante encontró una vulnerabilidad en el sitio y decidió usarlo de hosting para su estafa, haciendo un escaneo de puertos pude comprobar que estaba abierto el 3389 que es el puesto de la administración remota en un servidor windows.
Como para evitar que mas usuarios caigan en la trampa de este atacante decidí atacar el servidor que hosteaba(vpcomponents.com) para hacer que caiga, lo hice utilizando un exploit que aprovechaba la vulnerabilidad CVE-2011-0654 que afecta a varios productos Microsoft como el Windows 2003 Server R2 en el cual estaba instalado en dicho servidor y avisé al contacto técnico de vpcomponents.com que su sitio estaba comprometido para que lo solucione.