BBVA Phishing [Parte 1]
Introducción
En la actualidad existen muchos sitios de tipo scam para realizar campañas de phishig y así robar datos sensibles de las víctimas.
Los ciberdelincuentes tienen diferentes maneras de crear estos sitios, pasando desde los más sencillos hasta los más sofisticados, por esta razón analizaremos los sitios scam que vamos encontrando en particular con el objetivo de robar datos de la entidad financiera BBVA.
Links
- https://alertas3bbvenlinea.vip/bmovil1mx/login.html 🔴[OFFLINE]
- https://alertas3bbvenlinea.vip/229839/login.html 🟢[ONLINE]
- https://dev.medialogistics2020.ca/wp-includes/pomo/wp93UXj3/wplxpwk2/3/ 🟢[ONLINE] [IN BROWSER ALERT]
Sitio Número 2
https://alertas3bbvenlinea[dot]vip/229839/login.html
Información
IP → 198.54.116.51
Geolocation → US (United States), CA, California, 90064 Los Angeles 🇺🇸
IP History
Spam Database Lookup
El sitio web solo es detectado como spam por un proveedor. Por lo cual, si llegaran notificaciones por correo, es muy probable que dicho correo sea recibido en la bandeja de entrada.
Redirecciones
$ http-traceroute https://alertas3bbvenlinea.vip/
[302] HTTP/1.1 HEAD https://alertas3bbvenlinea.vip (476 ms)
[200] HTTP/1.1 HEAD https://alertas3bbvenlinea.vip/229839/ (380 ms)
Trace finished in 859 ms using 1 hopSSL Scan
Subject: alertas3bbvenlinea.vip
Altnames: DNS:alertas3bbvenlinea.vip, DNS:www.alertas3bbvenlinea.vip
Issuer: Sectigo RSA Domain Validation Secure Server CATraza de datos
| Formulario | Destino | Data | Redirige A |
| login.html | post2.php?p=1 | cel=5555555555&contra=asdasdasda&button=Entrar | validacion.html |
| validacion.html | post.php?=1 | cel=5555555555&tarjeta=4324040171014100&nip=0000&cvv=123&selectMes=09&selectYear=2023&button=Continuar | login2.html |
| login2.html | post2.php?p=2 | cel=5555555555&contra=asdasdasda&button=Entrar | validacion2.html |
| validacion2.html | post.php?p=2 | cel=5555555555&tarjeta=4324040171014100&nip=0000&cvv=123&selectMes=09&selectYear=2023&button=Continuar | load1.html |
| NULL | NULL | NULL | folio.html |
Vistas
Vista del archivo login.html El título del sitio web es “Https://www.bancomer/alertas”
Campos del formulario:
- Numero de celular
- Contraseña
Ambos campos tienen validaciones de caracteres y longitud de cadena.
Vista del archivo validacion.html El título del sitio web es “Https://www.bancomer/alertas”
Campos del formulario:
- Telefono celular registrado en Bmovil
- Numero de tarjeta – 16 Dígitos
- Nip de Cajero ATM – 4 Dígitos
- CVV – 3 Dígitos atrás de tu tarjeta
- Fecha de expiración de tu tarjeta
Vista del archivo login2.html El título del sitio web es “Https://www.bancomer/alertas”
Campos del formulario:
- Numero de celular
- Contraseña
El formulario es igual a login.html con la ligera modificación de la leyenda “Se perdio la conexion, por favor intente de nuevo.” El cual tiene como objetivo despistar al usuario
Vista del archivo validacion2.html El título del sitio web es “Https://www.bancomer/alertas”
Campos del formulario:
- Telefono celular registrado en Bmovil
- Numero de tarjeta – 16 Dígitos
- Nip de Cajero ATM – 4 Dígitos
- CVV – 3 Dígitos atrás de tu tarjeta
- Fecha de expiración de tu tarjeta
El formulario es igual a validacion.html con la ligera modificación de la leyenda “Algún dato ingresado fue incorrecto Porfavor verifica e intenta nuevamente”
Pantalla final en el flujo de datos.
El folio está escrito en duro en el archivo folio.html
<span class="Estilo19"><strong>Numero de Folio: <span class="Estilo27">289390</span></strong></span><br>Al pie del archivo vemos la frase “Para continuar con tu ingreso click aqui” el cual es un hipervinculo hacia https://www[dot]bbva[dot]com/es/banca-responsable/
Diferencias entre archivos
Los archivos por los cuales vamos siendo dirigidos solo cuentan con diferencias escritas en duro en los propios archivos como lo podemos observar con la herramienta diff.
$ diff login.html login2.html --normal
99c99,104
< <td width="91" bgcolor="#024383"><p><img src="login.fw.png" width="510" height="331"></p></td>
---
> <td width="91" bgcolor="#024383"><p><img src="login.fw.png" width="510" height="331"></p>
> <table width="425" border="0" align="center">
> <tr>
> <td style="text-align: center; font-family: Georgia, 'Times New Roman', Times, serif; color: #F00;">Se perdio la conexion, porf avor intente de nuevo.</td>
> </tr>
> </table></td>
102c107
< <td bgcolor="#024383"><form action="post2.php?p=1" method="post" id="forma">
---
> <td bgcolor="#024383"><form action="post2.php?p=2" method="post" id="forma">Podemos observar que cambia el mensaje mostrado en color rojo y el destino de la información ingresada el los formularios.
$ diff validacion.html validacion2.html --normal
102c102
< <form action="post.php?p=1" method="post" id="forma">
---
> <form action="post.php?p=2" method="post" id="forma">
103a104,109
> <table width="445" border="0" align="center" cellpadding="0" cellspacing="0">
> <tr>
> <td><span class="Estilo12 Estilo25" style="font-weight: bold; color: #F00; font-family: Georgia, 'Times New Roman', Times, serif; font-size: 12px;">Algún dato ingresado fue incorrecto
> Porfavor verifica e intenta nuevamente</span></td>
> </tr>
> </table>En este otro par de archivos podeos observar que el parámetro p enviado al archivo post.php cambia entre ambos archivos y se agrega el texto “Por favor verifica e intenta nuevamente”.
Validaciones
El phising valida el origen de la conexión. Si ésta no es de una IP Mexicana, tiene una redirección hacia google.com
Así mismo, como se menciona anteriormente, el sitio web cuenta con validaciones en el formulario de longitud de cadena y tipo de caracteres.
Conclusiones
A pesar de que la página scam aquí presentada para el phishing no es tan sofisticada, cuenta con algunos métodos de validación que podrían despistar a alguien y así lograr su cometido.
Es importante siempre mantenernos alertas al navegar en sitios sensibles y sobre todo en temporadas del año muy específicas en donde el comercio en línea y las transacciones por internet aumenta.