Phishing con el Banco Popular

Si no me falla la memoria, los primeros casos de phishing con bancos dominicanos ocurrieron para el 2006. Recuerdo que era común recibir mensajes de que “su cuenta se ha desactivado” de parte del Banco de Reservas, Banco Popular y Banco BHD, principalmente.

Luego de la adopción de las tarjetas de códigos (medida en la que el Banco BHD fue pionero, allá por el año 2001, siguiéndole otras instituciones como el Popular años después), a los maleantes se les hizo un poco más difícil engañar a los ingenuos, pues ya no bastaba con el username y la contraseña sino que además necesitaban obtener los códigos de la tarjeta especial. Y así empezaron a llegar esos mensajes en donde nos avisaban que la tarjeta de códigos había sido desactivada y que debía ser “confirmada”.

Aún hoy, muchas personas continúan siendo víctimas de los phishing scams, a pesar de las constantes y notorias advertencias que realizan las instituciones bancarias acerca de esos montajes. Y debe ser un negocio bien “rentable” pues parecería que cada vez son más mensajes de ese tipo que terminan en la bandeja de correo no solicitado.

De todas maneras, el modus operandi de los phishers era siempre el mismo: enviaban mensajes de correo electrónico que redirigían al incauto a un website idéntico al oficial, pero con una URL disfrazada… Bastaba un vistazo a la barra de direcciones para detectar la trampa… al menos hasta el pasado viernes.

Phishing scam con el Banco Popular

Phishing scam con el Banco Popular

El 15 de abril, día de cobro para muchos de nosotros, ingresé al Banco Popular desde mi computador laboral. Como suelo hacer, introduje manualmente la dirección bpd.com.do e ingresé al módulo de Popular en Línea Banca Personal. Introduje mi usuario y mi contraseña y caí en una pantalla donde se me informaba que ¡mi dispositivo de seguridad requería una verificación inmediata! Me ofrecía la opción de verificar mi Tarjeta de Códigos o mi Token Popular.  El branding del website lucía bastante auténtico y al mirar la barra de direcciones vi que, realmente, estaba en popularenlinea.com, aunque me fijé en que estaba en una conexión no-segura (http) en lugar de una conexión SSL (https). Obviamente, ya estaba chivo y estaba seguro de que era una trampa. De todas formas, ingresé a la opción de Tarjeta de Códigos y me presentaron el típico formulario en el que debía introducir uno a uno los 40 códigos de seguridad de la susodicha tarjeta.

¿Por qué sabía que era un engaño?

Confirma tus 40 códigos, imbécil

Confirma tus 40 códigos, imbécil

En primer lugar, ya es harto conocido que los bancos no solicitan ese tipo de informaciones. Por otra parte, estaba en una conexión sin encriptación (una simple http). Finalmente, examinando el website, no había ni un solo enlace que funcionara. Salí del portal e ingresé nuevamente, pero esta vez puse una malapalabra como usuario y otra malapalabra como contraseña (les recordaba cortésmente a su madre). El website validó mi acceso como si nada. Definitivamente, there’s a cat inside the macuitow.

Pero me intrigaba una cosa: Verdaderamente estaba en un website del Banco Popular. Hice ping tanto a bpd.com.do como a popularenlinea.com y ambos me devolvían la IP del verdadero Banco Popular, según una verificación que hice. Corrí un full scan de Microsoft Security Essentials con todas sus actualizaciones pero no encontró nada extraño. Mientras tanto, revisé mi archivo HOSTS y no encontré nada anormal.

Probé en otro computador y pude entrar al verdadero Banco Popular, con conexión https y certificado de seguridad validado. Lo primero que hice fue cambiar mi contraseña (ya le había dado mi usuario y contraseña a los phishers). Pero eso implicaba que mi máquina tenía un backdoor que había permitido a los intrusos redireccioar el tráfico del Popular en Línea para ir a otro sitio.

Mientras investigaba, hice los screenshots de este artículo y también un screencast con todo el movimiento, el cual empecé a subir a YouTube (enlace).

Buscando la puerta trasera

Reporté el caso a través de mi cuenta de Twitter (mencionando a @popularenlinea) por si acaso el ataque era masivo, a fin de dar una voz de alerta. Nelson Dumé me sugirió enviar la información a phishing@bpd.com.do (una cuenta que no conocía, para estos fines). Así lo hice y también envié el URL del vídeo. Debo admitir que tuve un buen seguimiento de parte de la cuenta de Popular en Línea (¡aplausos!).

Listado de víctimas del phishing

Listado de víctimas del phishing

Mientras tanto, con mi pana Gustavo Villavizar, nos pusimos a curiosear en el website de los phishers y dimos con un dato interesante: Los panas del scam no tuvieron la precaución de desactivar la exploración de directorios de su website, así que pudimos visualizar el contenido del mismo, y con ello nos encontramos con un archivo de texto plano llamado 0002vx.txt. ¿Que había en él? ¡Pues bingo! Los códigos de tarjeta de al menos tres incautos que habían caído en la trampa. No incluían los usuarios y contraseñas, y no había manera de determinar quiénes eran esas personas o qué cuentas tenían con el Banco Popular. Sin embargo, la fecha y hora de los ataques sí quedaba registrada y la víctima más antigua había dato sus datos a la 1:16 de la tarde del jueves 14. El segundo, a las 2:14 del mismo día. El tercero a la 1:13 de la madrugada de viernes 15. El siguiente de la lista era yo, pero para decepción de los phishers, sólo llené mis 40 códigos con malas palabras. ¡Qué antichévere soy!

Fumigando la peste

Dorkbot, la puerta trasera

Dorkbot, la puerta trasera

En menos de una hora luego de reportar al Popular, recibí un mensaje de Jonathan G. de parte del banco, para asistirme con el caso. Entre llamadas telefónicas y mensajes de correo, y un par de sesiones de Teamviewer, descubrimos el IP de los maleantes. También concluimos en que mi máquina estaba siendo utilizada en un ataque de pharming. Aunque no pudimos detectar específicamente cuál era el ataque ni dónde se alojaba, era obvio que lo que sucedía con mi máquina era algo localizado.

Al encender la máquina nuevamente ayer domingo Microsoft Security Essentials me dijo que había encontrado un worm llamado dorkbot y con un historial de bellaquerías que coincidía con las cosas que estaba viendo en mi PC. Eliminé la amenaza sin complicaciones y ya pude acceder a mis cuentas en el Banco Popular como de costumbre.

Moralejas y consejos

Me considero un usuario avanzado de las computadoras y de la Internet. Conozco muy bien la gran mayoría de los ataques y las maneras de engañar de los cyber-delincuentes. Sin embargo, caí en este gancho y por unos cinco minutos los pillos pudieron acceder a mis cuentas (tremenda decepción se habrán llevado, ya que la olla que tengo es de sancocho).

¿Por qué eso es una moraleja? Porque si yo caí en el gancho, estoy seguro de que muchos usuarios incautos podrían caer. Significa que los phishers están desarrollando nuevas formas de engañar a los usuarios, y se están volviendo más creativos en sus montajes. Yo sospeché desde que me pidieron validar mi tarjeta de códigos, pero si hubieran sido 10 cheles más inteligentes, habrían buscado abordarme de forma más sutil.

¿Cómo agarré este ataque? No puedo saberlo, pero sospecho que fue en algún USB drive o quizás al ver un PDF con poca seguridad (estaba usando un Adobe Reader muy desactualizado). Descarto la parte de los trojanos a través de los cracks y keygens, porque siempre los utilizo en un Virtual Machine, para evitar esas vainas…

Es importante que las personas recuerden que los bancos NO solicitan “confirmar” nada. Si usted recibe un mensaje de correo electrónico o aún si entra a un website que “pinta” legal, siempre sospeche si le están pidiendo este tipo de información. Verifique siempre la dirección de la página donde se encuentra. Los delincuentes están siendo cada vez más astutos.

13 Comments Phishing con el Banco Popular

  1. Jared Ortiz González

    A mi tambien me llegó este correo al cual haces alusión y al igual que tú mencioné a la madre de los autores un par de veces. Cuando llegó el momento de introducir los datos de la tarjeta de clave, lo hice con números al azar y al terminar salió un mensaje que decía: “Gracias, sus datos fueron actualizados, puede continuar con sus operaciones”.

    Y luego cerré la ventana. No la he vuelto a utilizar. Voy a hacer otra prueba en el día de hoy.

    Reply
    1. Darío

      Bueno, Jared, te recomiendo que por si las moscas, cambies tu contraseña de acceso. Por otro lado, los phishings a través de mail son clásicos, pero la novedad de este ataque que narro es que no fue por mail, sino que yo manualmente entré al site del Popular y me instalaron un backdoor que redireccionaba ese site al del atacante. Muy bien hecho… un ataque nítido.

      Reply
  2. Dora

    Bueno…. a mi me hubieran quitado todos los cuartos! 🙂

    Yo no soy para nada tecnológica para darme cuenta de esas cosas…. eso sí, estoy totalmente segura que los bancos no te piden nada de eso, así que hago caso omiso, y si dudo, llamo.

    Pero la verdad es que estos delincuentes estan cada vez más creativos.

    Reply
  3. nedume

    Bueno mi estimado! a mi no me hubiesen agarrado, pero de aqui a que yo haga una investigacion de ese tipo como la que hiciste con Gustavo no tengo la capacidad, la direccion que te pase me lo dieron una vez por TW que hice un comentario de un mail que me llego para confimar mis datos, que hice, lo mismo que tu, lo llene de numeros falsos y malas palabras al final me dijo que todo estaba ok, que regrese en 2 horas…. “enje”… Otra limonada mas…

    Reply
  4. Angel

    Este es un buen post para los que no somos tan expertos tengamos fresco en la memoria de cuidarnos de los amigos de lo ajeno, gracias a Dios no he pasado por esa, pero aún asi es bueno tenerlo presente.

    Saludos

    Reply
  5. ESTAFADOR

    HOLA TE PUEDO ESPLICAR FUISTE INFECTADO POR JAVA EL TROYANO COMUN MENTE SE CONOSE COMO BOTNET CUESTA ASTA 1500 DOLARES EN EL MECADO NEGRO APARTE YAH QUE PUSISTE EL ALCHIVO .TXT PERTENESE A UN DELICUENTE MEXICANO LLAMADO VIRUS MX ASI SE ASE LLAMAR POKO LO CONOSE PERO ANDA EN LO FORUS DE HACKERS AHORA BIEN NO DESCARGEN NADA NI ENTRE A SISTIO WEB DESCONOSIDO NI QUE ESTO OFRESCA DESCARGA ALGO YAH QUE COMUN METE SON INFECTADO ASE QUE LO VISITATEN LO INFECTE BIEN ESTA…..

    Reply
  6. Mercurio2054

    recibi un correo de los clasicos pidiendo informacion de cuentas, aca esta el correo:

    el link real que tiene por debajo la pagina era este:

    http://comunica.softtonic.biz/comunica/informacion/pais/micorreo@gmail.com

    Estimado (a) Cliente Banco Popular:

    Su cuenta muestra segun nuestro sistema un mensaje de error Error: BCE001547-56, mismo que se define como
    CUENTA TEMPORALMENTE SUSPENDIDA, que se ha generado por que usted no ha realizado el proceso de
    Verificacion de Identidad .

    Es necesario que ingrese a nuestra web para poder verificar su
    informacion en nuestra base de datos o de lo contrario su servicio de
    banca por internet quedara bloqueada y
    sera necesario acudir a nuestra sucursal mas cercana para el
    desbloqueo de su cuenta.

    https://www.bpd.com.do/banco.popular.aspx?Personal

    Esto le tomara unos minutos y nos permitira mejorar sustancialmente
    la seguridad y calidad de nuestro servicio.

    BANCO POPULAR
    Siempre trabajando para mejorar el servicios de nuestros asociados.

    _________________________________________

    Informese sobre la garantia estatal de los depositos en su banco o en http://www.bancopopular.do

    2014 Banco Popular. Todos los Derechos Reservados.

    Reply

Comenta, sin vergüenza