Phishing en la web de Spanair

Bloody #1 Ago '10

Acabo de escuchar en la radio que la web de Spanair ofrecía viajes gratuitos una vez realizados 3 viajes con dicha compañía.

He buscado algo en google, y me sale una noticia del 13 de julio donde se comenta el procedimiento de la estafa. Se quedan con los datos de tu cuenta bancaria y el resto lo podéis imaginar

Dejo un copy&paste de la noticia:

La compañía aérea Spanair ha lanzado una promoción por la cual ofrecía a sus clientes un viaje gratis por cada tres que hubiera realizado con su compañía.

Sin embargo, el pasado dia 7 de Julio, Spanair publicó un comunicado urgente en el que informaba a todos sus usuarios de la existencia de un ataque de phishing, con el siguiente texto:

Si recibís un email con un remitente promocion@spanair.com, asunto “Billete promoción: FW: felicidades has ganado un billete de Spanair por ser cliente de Spanair, que tiene el aspecto que os adjuntamos y os remite a esta web http://spanair-promo.com.web.es-es.greenhouse.cl/.%20/.es-promo/fare.action.php , por favor, no deis vuestros datos se trata de phishing. Para los que no sabéis que es el phishing os informamos de que es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito…Para luego ser usados de forma fraudulenta. Estamos trabajando para solucionar el problema con la mayor celeridad. Nuestra web funciona con total normalidad. ¡Muchas gracias por vuestra comprensión!¡ Seguiremos informando sobre el tema!

Sin embargo, hoy mismo han vuelto a sufrir dicho ataque, por lo que la compañía ha reiterado el comunicado a través de su web:

De nuevo e-mails de suplantación. El tema es el mismo de la semana pasada, la única diferencia es que esta vez viene de direcciones diferentes: la página es esta: http://web3.adams-hosting.net/.%20%20/ y os remite a esta web http://spanair-promo.com.web.es-es.unitel.tv.bo/.%20%20/.es/index.htm.
Por favor, no deis vuestros datos. De nuevo se trata de phishing. Para los que no sabéis que es el phishing os informamos de que es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito para luego ser usados de forma fraudulenta. Ya hemos tomado las medidas oportunas.
IMPORTANTE: os recordamos que nuestra página web donde podéis comprar billetes de forma absolutamente segura funciona con total normalidad. www.spanair.com

Abogados Portaley, viene informando a través de nuestra web www.delitosinformativos.com de esta modalidad delictiva, http://www.delitosinformaticos.com/?s=phishing, por lo que si considera que ha sido víctima de este delito, puede contactar con nosotros y le asesoraremos.

http://www.delitosinformaticos.com/07/2010/noticias/spanair-sufre-un-ataque-de-phising

Según Spanair, puedes seguir usando su web, que no vas a tener problemas

Joakas #2 Ago '10

Y yo me pregunto... ¿a todos estos los "pillan"?

Bloody #3 Ago '10

Pues no tengo ni idea. Sé que en estas fechas mucha gente viaja, incluso los mediavideros que dicen quedarse en casa por miedo a salir.

La noticia la he puesto para los incautos. Nunca se sabe xD

eagLe__ #4 Ago '10

.cl

.chile

estos panchitos.... ya nos roban hasta desde su pais, no es suficiente hacerlo aquí también.

2

AikonCWD #5 Ago '10 Git Gud

#2 Los delitos telemáticos siempre terminan igual:

Si lían una estafa gorda -> los pillan
Si se meten con algún organismo militar o del gobierno -> los pillan

Para, casi, todos los demás delitos, quedan en meras denuncias. A no ser que sean imbécil y te pongas a atacar la web de sálvame y telecinco si saber exactamente como funciona ese mundo y dejes un rastro de pruebas hasta tu casa... (ha salido en las noticias la semana pasada)

Y seguramente los causantes de ese delito no sean ni chilenos, es decir:

1) Grupo random de "hackers" exploran algún servidor de otro país en busca de alguna vulnerabilidad, consiguen acceso al sistema, FTP y Servidor DNS. Por ejemplo: midominiovulnerable.ru

2) Crean un subdominio dentro de ese dominio infectado: spanair.midominiovulnerable.ru

3) Montan dentro de ese subdominio una web idéntica a la de spanair, pero modifican el formulario de compra para que los datos de la tarjeta de crédito se guarden en una base de datos o se envíen por mail.

4) Infectan algún servidor DNS Público vulnerable, cambiando la IP que apunta a spanair.com por la IP de: spanair.midominiovulnerable.ru

5) Si algún usuario está usando dicho servidor DNS infectado, el entrar en spanair.com serán redirigidos al dominio "falso"

6) ...

7) Profit!

Para evitar cosas de ese estilo, recomiendo que configuréis vuestras DNS's a algún servidor público que ya esté parcheado y no sea vulnerable. Aquí os dejo un listado:

http://bandaancha.eu/analizador-dns

Yo uso el DNS de google: 8.8.8.8 y 8.8.4.4

De nada

1