Hola a todos

Hace unos días una persona de mi familia me envió un email extraño sobre un cargo a su cuenta y me pico la curiosidad por ver que era. El email venía con estos datos (faltas de ortografía incluidas):

 

De: MEDIOLANUM - NOTICIA <e-mail.pago2371402002@labs.com>
Fecha: 4 de marzo de 2015, 16:57
Asunto: MENSAJE INFORMATIVO SOBRE TU COMPRA - Ref. #8021944
Para: familiar@gmail.com

 

Apreciado Cliente de Mediolanum

 

Su compra en valor de 182.89 euros ha sido aceptada con exito.

 

¿Cómo puedo cancelar este pago?

 

Haga clic aqui! (http://yaseo.org/.ce/ce.htm)

 

Metodo Pago - Tarjeta de Credito : 4211-XXXX-XXXX-XXXX

 

Abajo hay detalles importantes sobre tu pedido.

 

Número de pedido: 708608537

 

Producto Comprado: Gafas del Sol

 

Impuesto: 0,00 .

 

Total: 182,89 .

 

Así que decidí tomar algunas medidas de seguridad para seguir el enlace y ver qué pasaba. Tras seguirlo (y un par de redirecciones) aparecí aquí:

 

Rellene el formulario de Acceso de cliente con datos al azar pensando que no iría a ningún sitio y cuál fue mi sorpresa, acerté el formulario. Ahora me pedían nuevos y más personales datos:

 

Nótese la guasa del asunto que además a la derecha te dejan poner la página en Favoritos de tu navegador. Como ya estaba decidido a seguir el juego rellene el formulario con datos al azar y pulse sobre Continuar.

 

En este punto llego la decepción, ni un triste “Gracias, sus datos han quedado registrados”, simplemente una redirección a otra página de inicio clavadita a la de inicio del Banco Mediolanum:

 

 

 

Como datos curiosos, el email enviado al principio como anzuelo tiene dominio labs.com, este dominio tiene una web con un iframe que no se pinta porque no está dentro de un <body>. Es una cosa realmente rara, según google es para conectar gente con aplicaciones hechas en C, Java.. etc.

 

La dirección de cancelación de pago tiene dominio yaseo.org, si pasamos veremos una página para e-commerce en estado mucho menos que Alpha, en realidad alguien puso cuatro cosas y se fue. Si seguimos la dirección completa de cancelación nos redirecciona hacia una página muy conseguida similar a la del Banco Mediolanum donde meter datos de acceso. Aquí no hay código JavaScript que cargue recopilando algún dato malicioso. Una vez metidos algunos datos de login, refresca la web por Ajax pidiendo datos de tarjeta y cuenta. En realidad es una web aparentemente bastante sencilla y dedicada para gente de habla hispana porque en la Url se aprecian palabras en Español.

 

Por último decir que en Windows ni Nod32, SpyBot, Antimalware, Firefox, ni nada me informo que estaba metido en una estafa de Phising.

 

Despues de todo me pregunto, ¿en serio alguien pica hoy en día con este fraude?

Saludos

 

 

Volver