Phising

He estado a punto de caer en un intento de phising que me ha llegado a través de correo electrónico.

Phishing es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en la página original en lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando páginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta página a actualizar los datos de acceso al banco.

(de Phising en Wikipedia)

Mira que yo estas cosas las conozco y estoy sobre aviso (desafortunadamente, no es el mismo caso que el de la mayoría de la gente, y por eso esto funciona). Pero es que se lo montan muy bien…

Me ha llegado un mail con el siguiente texto:

During our regularly scheduled account maintenance and verification procedures, we were unable to verify your account information. This might be due to either one of the following reasons:

Click here to restore your account

Habitualmente yo hubiera ignorado este mensaje, lo hubiera considerado spam (más o menos). Pero el caso es que efectivamente tuve algunos problemas con mi cuenta de Paypal hace un tiempo, y el gesto instintivo ha sido ir a darle a ese enlace para “confirmar mis datos”.

Afortunadamente, no estoy tan dormido como pensaba.

Aparte de que las cabeceras del correo electrónico no me cuadran con otros mensajes recibidos de PayPal (que por cierto, acabo de caer en que los recibo en español), el enlace en el que se supone que tenía que “restaurar mi cuenta” es http://www.paypal-update-center.com/ (no lo enlazo para evitar darles carnaza).

Eso de por sí ya mosquea. Lo lógico sería que fuera paypal.com. O updatecenter.paypal.com. Pero un dominio distinto huele fatal. Y más para esto tan sensible.

De modo que, ya quitada de la cabeza la idea de meter ningún password allí, he entrado para echarle un vistazo y me he encontrado una copia aparentemente idéntica de la auténtica de PayPal, con todos los enlaces apuntando a la buena (para dar credibilidad al asunto) salvo el span class=”aclara” title=”el script que procesa los datos de usuario introducidos”>action del formulario. Esto es phising, claramente.

Ya por terminar de confirmar el tema (sobre todo porque lo iba a escribir aquí y no quiero dar informaciones falsas, a ser posible), he comprobado los registradores de los dominios. Como era de esperar, nada que ver…

El dominio malicioso tiene estos datos:

DOMAIN: PAYPAL-UPDATE-CENTER.COM

RSP: uniteddomains
URL: http://www.united-domains.de/

created-date: 2005-08-17
updated-date: 2005-08-17
registration-expiration-date: 2006-08-17

owner-email: maniaco1123@yahoo.com

Paypal.com, sin embargo:

PAYPAL.COM

Administrative Contact , Technical Contact :
eBay Inc.
hostmaster@ebay.com

Registrant: PayPal Inc.

Record expires on 15-Jul-2010
Record created on 15-Jul-1999

Las diferencias son claras, solo con estos datos, ¿verdad? Pues eso… El detalle del correo electrónico del artista que está montando este engaño, eso de maniaco1123@yahoo.com ya termina de despejar cualquier duda que quedara.

De modo que mucho ojo con las contraseñas que se meten en webs que se han recibido por correo electrónico. Si es que hasta en mi intento de phising me “avisaban” (copiando la estructura de un mail auténtico, para dar más seriedad):

Make sure you never provide your password to fraudulent websites.

To safely and securely access the PayPal website or your account, open a new web browser (e.g. Internet Explorer or Netscape) and type in the PayPal URL (https://www.paypal.com/us/) to be sure you are on the real PayPal site.


Actualizando: Se escribe Phishing, no Phising como yo he puesto en el título. Estos guiris y sus manías de meter letras en mitad de todos sitios…


Le habló un arkángel avisando por si acaso.

16 comentarios
  1. mewt 19/08/2005 at 10:55 am

    Si que hay que tener mucho cuidado…
    Por cierto, ayer me llego a mi uno supuestamente de “e-bay”; como yo no estoy comprando ni vendiendo nada lo borre directamente, pero me acorde de que tu estabas pujando por el GPS asi que… pos eso, cuidaico ;)

  2. Veva 19/08/2005 at 12:28 pm

    Ves, pues yo creia que el pising era lo que te pasaba cuando estornudabas!

  3. Arkangel 19/08/2005 at 12:46 pm

    Miala t?, que simpaticona ella =) Que, que se te qued? marcao, ?no? :P

    mewt, claro, el no estar relacionado para nada con el supuesto emisor siempre ayuda. El que venga el mensaje en ingl?s (para los que solemos trabajar en espa?ol), pues tambi?n 8-)

  4. Veva 19/08/2005 at 12:56 pm

    jejejejeje, solo un poquit?n de retranca gallega….

  5. nauj27 19/08/2005 at 1:18 pm

    Lo que yo hice en el ?ltimo que me lleg? fue dar estos datos de registro de dominio y dem?s a la pulis?a. No s? si servir? de algo pero al menos me contestaron y me dieron las gracias…

  6. Veva 19/08/2005 at 1:42 pm

    Nauj, te chinchas, eso es como los timos telef?nicos: si no picas, no hay delito. (al parecer, intentar enga?ar no es delito, enga?ar si) os lo digo porque a mi reto?a le intentaron regalar un jam?n (ya, ya, queda mucho m?s prosaico que el phising ese)y despu?s de una amplia charla con la poli me confesaron que nada, no hay “intento de delito”, y de paso me contaron que estos del phising no delinquen porque ponen otra direcci?n, si te fijas. asi que no suplantan, aunque el de la p?gina original puede protestar, si tiene copy, claro.

  7. Arkangel 19/08/2005 at 1:49 pm

    Bueno, acabo de denunciarlo “informalmente” a los de delitos telem?ticos de la Guardia Civil (aka peret?rica) aqu?.

    Veva, llevas raz?n, pero siempre se podr? intentar cerrar la p?gina. Por cierto, voy a ponerlo en conocimiento de paypal, que esos seguro que si le meten mano por alg?n lado…

  8. infopoeta 19/08/2005 at 2:28 pm

    Qu? peligro que tienen, s? :-S

  9. infopoeta 19/08/2005 at 2:29 pm

    Por cierto, la p?gina de delitos inform?ticos de la Guardia Civil, no funciona bien en Firefox :-S. Debe ser que si caes en un delito de estos sin usar Internet Explorer no tienes derecho a quejarte :D

  10. Arkangel 19/08/2005 at 2:36 pm

    El caso es que yo navego habitualmente con Firefox pero en esa p?gina he entrado directamente con Explorer asumiendo que no iba a funcionar. No me preguntes por qu?…

    Adem?s, tampoco funciona bien con iexplorer. Se ve todo pero al enviar el formulario (que no es un sendmail, sino que te abre tu programa de correo) casca el javascript al empujar el texto del cuerpo de la denuncia. Tamos apa?aos…

    Y ya que estoy, aprovecho… Me acabo de dar cuenta de que este es el post n?600. ?Una birra pa celebrarlo!

    stpatrick
  11. Arkangel 19/08/2005 at 2:53 pm

    De: spoof@paypal.com

    Dear Arkangel,

    Thank you for contacting PayPal. We appreciate you bringing this
    suspicious email to our attention.

    After review, we can confirm that the email you received was not sent by
    PayPal.
    Any website which may be linked to this email is not authorized
    or used by PayPal.

    Pos eso.

  12. JJ 19/08/2005 at 5:32 pm

    Menos mal que no has contestado, pa matate

  13. Arkangel 19/08/2005 at 7:32 pm

    Eran las 8 de la ma?ana, te aseguro que lo he tenido que lo primero que me ha venido a la cabeza ha sido un “joer que co?azo, si consigo el gps de ebay ahora voy a estar de movidas para el pago” (y es que ya me pas? algo con el ?ltimo).

    Afortunadamente hab?a una neurona despierta, que es la que ha comprobado las cosas y escrito el post.

  14. nauj27 20/08/2005 at 4:43 pm

    btw, enhorabuena por tu post #600 :D

  15. salsa 21/08/2005 at 7:11 pm

    Pues yo suelo “picar a mi manera” en los pishings (o como se escriba). Hago click en su enlace, y comienzo a rellenar/inventando datos.

    Nunca dejo menos de 10-15. Seguro que les hace ilusi?n.

    Incluso me han dado ganas en m?s de una ocasi?n de “scriptear” un poco y que mi ordenador rellene por mi esos datos (hasta que yo te avise)

    ;-)

  16. Pingback: SentidoCom?n » Arkangel YABlog

Sobre el autor

Durante mucho tiempo desde que comencé este blog allá por 2003 intenté mantener separado mi alter ego de mi mismidad.

Sobre la persona

A día de hoy, me resulta casi imposible separar, lo virtual se mezcla íntimamente con el Mundo Real TM, para lo bueno y lo malo:

Mi nombre es Ángel Moreno y pierdo el sueño por SI2 Soluciones.

Disculpen :)

Busca
¡blog zombie!

Buuhhh... Este es un blog zombie, o vampiro, o algo así. Quiero decir, que está no-muerto. Sí, parece cadáver total, pero de vez en cuando su autor vuelve para soltar alguna diarrea mental.