crimeware

ir a menu
ir a noticias
ir a bloques informativos
Ir a Página sobre accesibilidad
Ir a Página de Inicio
Ir a Página de Texto
Ir a Mapa web
Ir a Buscador
Ir a Aviso Legal
Contactar con la Asociación de Internautas
Comprueba tu velocidad de conexion, ADSL, Cable, RTB

Menu

Noticias

Ayuda a la Asociación de Internautas con tu donación

II CAMPAÑA CONTRA EL FRAUDE ONLINE Y POR LA SEGURIDAD EN LA RED.

Estudio de cómo se monitoriza un servidor fraudulento hasta descubrir al delincuente.

En el siguiente articulo tratamos de enseñar el proceso de monitorización (controlar los cambios que existen en un servidor web de un servidor trampa), en un caso real que afecta a Caja Madrid, Banco Popular y PayPal, Se pueden observar los cambios que efectúa el delincuente, hasta poder sacar los datos suficientes para detectar la identidad del mismo. Este tipo de trabajo es realizado algunas veces por los compañeros de seguridad de entidades financieras pero solo se puede controlar el tiempo de vida que esta operativo el servidor trampa.

Nota: Actualizado con otros cambios detectados que afectan al Banco Popular.

14-05-2007 - Advertimos que por motivos de seguridad se omiten ciertos datos en el siguiente articulo.

Desde primera hora de la mañana se detecto un nuevo caso de fraude online que afectaba a Caja Madrid y Paypal (Banco Popular ultima detectada). Lo primero que se hace es obtener datos del servidor donde se hospeda las web trampa, en este primer análisis solo se detecta la web falsa de Caja Madrid;



En este primer ataque no se detecta ningún fichero log de afectados, estos ficheros es donde se recogen las IP de las conexiones de las maquinas que visitaron la web y también los datos (claves bancarias) de las victimas del engaño, comprobamos que usa un script de PHP para mandar estos datos.

Pasado un tiempo comprobamos nuevos cambios en el servidor trampa, el delincuente esta subiendo nuevos script para realizar nuevos fraudes, en este caso son de PayPal:





Durante el trascurso de este estudio la Comisión de Seguridad de la Asociación de Internautas denuncia “otro caso” de phishing que afecta a Caja Madrid y donde por motivos de seguridad de tachan las url falsas, en pocos minutos desaparece del servidor trampa que estamos monitorizando que afecta a la entidad Caja Madrid, parece que el delincuente estudia nuestras denuncias o es simple casualidad, en la siguiente imagen podemos comprobar que ya no esta el directorio que contenía las web que suplanta a Caja Madrid.



Seguimos controlando los nuevos cambios que se efectúan en el servidor fraudulento, vemos que el delincuente tiene mucho tiempo libre y acaba de añadir otro directorio al árbol raíz, en este caso en otra nueva de PayPal, el nuevo directorio se llama Commerce;



Analizamos el servidor un poco mas en profundidad, un análisis externo mas completo para ver si podemos hallar alguna sorpresa mas y afortunadamente podemos encontrar directorios protegidos y mas datos de suma importancia:





El siguiente paso es el mas importante de todos es descubrir el correo electrónico donde se envían los datos obtenidos por medio de este tipo de fraudes, tras horas de seguimiento y investigación nuestro trabajo obtiene su recompensa, podemos obtener este valioso dato:





Después de obtener este dato importantísimo, el siguiente paso es denunciar con los datos obtenidos de esta investigación y monitorización los hechos a las fuerzas del estado, ellos a su vez y por orden del juez deberán bloquear la dirección de correo electrónico y comprobar las IP de conexión al mismo, mas los correos recibidos, estos datos los tiene que facilitar el proveedor de correo, en este caso Hotmail.

Horas del seguimiento del servidor trampa desde su inicio hasta la obtención de pruebas; 8 horas.
Nota; hasta el cierre del servidor, se debe de estudiar el servidor fraudulento, por si existen nuevos cambios.

ACTUALIZACIÓN: Se detectaron nuevos directorios fraudulentas en el mismo servidor que afecta al Banco Popular, pasada 4 horas de la publicación de este análisis:






Análisis y monitorización realizada por la Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org - www.seguridadenlared.org - www.seguridadpymes.es
Asociación de Internautas. www.internautas.org


Mas datos de interés:

Pillamos al ciber-delincuente o como investigamos cada caso de phishing. http://seguridad.internautas.org/html/4143.html

Kit de phishing, troyanos bancarios y servidores llenos de claves , ¡ Peligro que viene el lobo... ¡ http://seguridad.internautas.org/html/1020.html

Como funciona un troyano bancario en el ordenador de una victima, Internautas Televisión:
http://www.internautas.tv/?tv=100

Como funciona un troyano bancario en el ordenador de una victima:
http://seguridad.internautas.org/html/4189.html

Análisis del troyano: http://seguridad.internautas.org/html/4185.html

Volver<<< Volver
ImprimirVersión para imprimir Impresora | Versión PDF PDF
Enviar artículo a un amigo:
Las direcciones de correo no se almacenan en parte alguna, simplemente son utilizadas para el envio del correo al destinatario

Bloques informativos

crimeware

Seguridad Pymes

Logos y Marcas propiedad de sus respectivos autores
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
Logo AI pequeño
© 1998-2015 Asociación de Internautas
Aviso Legal - Contacto
¡Nuestro RSS! | Accesibilidad

¡Internautas Televisión! |¡Alertvir! |¡Seguridad en las PYMES! |¡Comisión de Seguridad! |¡Tienda de la Asociación de Internautas! |¡Seguridad en la Red! |¡Foros públicos de la Asociación de Internautas!