Web de Hooters Alemania comprometida con phishing a HSBC
Hooters es una cadena de restaurantes que posee sucursales en un buen número de países. En la Wikipedia podrán leer más acerca de lo particular de estos comercios de comida, quien conoce alguno sabe a qué me refiero, y quién no ha tenido la oportunidad de visitar un hooters… no sabe lo que se pierde *** comentarios entre paréntesis **** :-)
La cuestión es que el sitio web de hooters Alemania ha sido comprometido con un ataque de phishing contra la entidad bancaria HSBC. La primera imagen muestra el sitio real y la segunda el phishing alojado en el mismo hosting.
La cuestión es que el sitio web de hooters Alemania ha sido comprometido con un ataque de phishing contra la entidad bancaria HSBC. La primera imagen muestra el sitio real y la segunda el phishing alojado en el mismo hosting.
Ahora, la pregunta es cómo darse cuenta que se trata de una página falsa. A pesar de ser una copia casi fiel de la real, el primero de los puntos relevantes es que en este caso, la dirección no se parece en nada a la real.
En segundo lugar, si queremos profundizar un poquito más podemos mirar el código fuente del HTML que, a simple vista, también parece el real, sin embargo, una serie de detalles, sin entrar en contenidos técnicos, pueden dar la pauta que estamos frente a un intento de fraude.
En segundo lugar, si queremos profundizar un poquito más podemos mirar el código fuente del HTML que, a simple vista, también parece el real, sin embargo, una serie de detalles, sin entrar en contenidos técnicos, pueden dar la pauta que estamos frente a un intento de fraude.
Miremos un segundo una parte de código perteneciente a la página real:
Observamos que rel="canonical" hace referencia a la url http://www.hsbc.co.uk/1/2, y que los estilos del sitio se encuentran en /1/themes/HTML/hsbc_unpersonal/css/.
Ahora observemos la misma parte del código pero de la página falsa:
Porqué llamar a los archivos de estilo desde la dirección completa del sitio real, cuando se supone que el contenido se encuentra en el mismo posting. Mmmmmmmm, es sólo un detalle pero... ¿no les parece extraño?
PD: el paquete de phishing alojado en el sitio contiene, entre otros, un archivo llamado loginfinish.php, con la siguiente información:
PD: el paquete de phishing alojado en el sitio contiene, entre otros, un archivo llamado loginfinish.php, con la siguiente información:
Información relacionada
Phishing Database IV
Nueva campaña de phishing contra Facebook encabezada por ZeuS
Campaña de phishing orientada a jugadores de Zynga
Campaña de phishing a Facebook y VISA propuesta por ZeuS
Disección de un kit fraudulento. Wachovia phishing attack
Jorge Mieres
0 comentarios:
Publicar un comentario