Análisis de un phishing del BBVA Banco Francés

Realmente ha sido impecable el análisis que ha compartido con nosotros el usuario Mr. Eko, quien desde el foro de MM Seguridad hizo una municiosa revisión del falso mensaje. Con esta clara opinión, completamos el artículo publicado dos semanas atrás, sobre este caso y el phishing en general:

http://www.rompecadenas.com.ar/seguridad-hoaxes/1159.php.

Mr. Eko comienza explicando que “Hace dos semanas, ha llegado a varias direcciones de mail de la empresa donde trabajo, un supuesto mensaje del Banco Francés, el cual reproduzco a continuación y luego agrego los comentarios por los cuales era evidente que se trataba de un mensaje falso”.

—————–
Estimado Cliente,
Según nuestros registros informáticos, hemos detectado recientemente que los accesos a su cuenta a través de Francés net han sido realizados desde diferentes direcciones IP.
Esto seguramente se debe a que la dirección IP de su conexión es dinámica y varía constantemente, o debido a que usted ha utilizado más de una conexión para acceder a su cuenta.
Debido a este suceso y en cumplimiento con la legislación vigente, hemos actualizado nuestros sistemas informáticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectúe una verificación de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del 19 de mayo de 2006. De no ser así, transcurrida esta fecha, el sistema informático automatizado de Francés net suspenderá su cuenta indefinidamente.

Desde ya le agradecemos su cooperación en este aspecto.
Para ingresar a su cuenta a través de Francés net Cuentas Personales y verificar la actividad de la misma, debe hacer clic sobre el siguiente enlace:
https:// www.bancofrances.com.ar/login.jsp?ID=61540

Para ingresar a su cuenta a través de Francés net Cuentas de Empresas y verificar la actividad de la misma, debe hacer clic sobre el siguiente enlace:
https:// www.bancofrances.com.ar/login.jsp?ID=83173

Para ingresar a su cuenta a través de Francés net VIP y verificar la actividad de la misma, debe hacer clic sobre el siguiente enlace:

https://www.bancofrances.com.ar/login.jsp?ID=39014

Apreciamos su ayuda y compresión, pues trabajamos juntos para que BBVA Banco Francés sea cada día un lugar mas seguro para hacer negocios.
Departamento de Seguridad
BBVA Banco Francés
Por favor no responda a este correo electrónico, esto es un correo automatizado solo para notificaciones.
© BBVA Banco Francés – 2000 All rights reserved.

—————–

El análisis de Mr. Eko, a quien le agradecemos muchísimo su participación.

1. En el encabezado, por arriba de “Estimado cliente”, hay una imagen con el logo del banco, que no está adjunta al mail sino tomada directamente online de la propia web del Francés. Esto podría engañar al receptor del mensaje.
2. La dirección de mail del remitente aparece como una dirección real del banco, mensajes @ bancofrances.com.ar; aunque si se mira el header o encabezado interno del mensaje, se detecta una dirección de host albatross.janene.net pero como esto no aparece visible, puede engañar.
3. “Estimado cliente…” el mensaje lo recibí en una cuenta que uso yo solamente, y no soy cliente de dicha entidad, ni lo he sido. Primera señal de que es falso.
4. El mismo mensaje fue recibido en todas las cuentas de mail de la empresa donde trabajo, que son unas 30 direcciones de correo electrónico, de las cuales ninguna es personal o privada, varias son institucionales y manejadas por la misma persona. Señal definitiva de que se trata de un engaño.
5. Una institución como lo es un banco, no se comunica con los clientes por e-mail para tratar esta clase de asuntos. Por si hiciera falta para los desprevenidos, el propio banco lo aclara.
6. Aun si el banco usara el e-mail para comunicarse con el cliente por semejante cuestión privada, de seguridad, y relativa a algo tan delicdo como los datos personales del cliente, si es que lo hicieran, lo harían en forma individual. Pero véase que este mensaje incluye accesos a distintos tipos de cuenta, una de “Cuenta personal”, una de “Cuenta de empresas” y una de “VIP”. Como si el propio banco no supiera la clase de cuenta que tiene su cliente.
7. He aquí el dato más elaborado y que es el que puede engañar a los incautos: si bien los enlaces para loguearse a la web del banco son reales, contienen también un segundo enlace oculto. Pero no es que el enlace aparece en pantalla como se ve en el mail, y resulta estar enlazado a otro lado dentro del código HTML; sino que es una sutil variación de esto. Cuando acercamos el cursor, se peude ver que el enlace es real a la web del banco, pero si lo movemos un milímetro más, aparece un segundo enlace, ocultado mediante una simple técnica de diseño del código HTML. Este enlace oculto era http:// www.elpmis.com/cms/content/_private/faq/p/index.html, dicha web existe y es de una compañía de robótica de Singapur, pero el resto del enlace (/cms/content/_private/faq/p/index.html) no existía, con lo cual es posible que alguien se haya aprovechado de una falla de seguridad en esta web y haya creado ese directorio para llevar a cabo el engaño.
8. Por último, el texto “Por favor no responda a este correo electrónico” al final del mensaje, lo cual es conocida táctica de cantidad de spammers y no de una institución como un banco. Además de que, si uno respondía, el mail iba a llegar al Francés y quedaría expuesto todo el engaño.

Por supuesto, no fue siquiera necesario consultar al Banco Francés para ver si esto era un engaño, pero sí me comuniqué con ellos para denunciar esto. Ya el sólo hacho de que alguien que no es ni ha sido cliente reciba un mensaje que dice “Estimado cliente” indica por sí mismo que es un engaño.

Y para los que no saben, el código HTML es un lenguaje básico en el que se diseñan las páginas web (excepto las de contenido dinámico como este foro, los portales de noticias, etc). y también es la manera que se usa, tanto en los servicios de web-mail como en los programas de mail, para dar formato al texto.

A tener cuidado con estas cosas.