Phishing de VISA enviado desde parquedelacosta.com.ar después de ser advertidos hace 30 días

julio 4, 2013 § 2 comentarios

En las últimas semanas hemos recibimos varias denuncias de dos tipos de correos phishing de Visa como se ven a continuación:

En el primer caso es una falsificación del formato de notificaciones de consumos de Visa.
El enlace engañoso es de un sitio web legítimo y vulnerado: http://godsavethequeen.es/errror.php y el archivo PHP redirige a una página falsa alojada en otro sitio web legítimo pero también vulnerado de una empresa de servicios químicos en España http://www.tecnoquimvalles.es/Actualizacion/login2a86.html (dado de baja luego de nuestra denuncia).

Aunque ambos sitios mencionados son legítimos, nada tienen que ver con Visa. Los delincuentes aprovechan  que son sitios vulnerables para plantar allí su engaño. Tendrán éxito ya que al ser sitios legítimos las victimas no serán bloqueadas por filtros de navegación al acceder a esos sitios.

El otro correo con el formato de una supuesta verificación y servicio suspendido de Visa, contiene un enlace engañoso para supuestamente activar la cuenta. Este apunta a un sitio web vulnerado de un agente de aduana en Venezuela http://aduavenca.net/site/tmp/actualizacion/actualizacion-visa.php
(dado de baja después de denunciarlo y actualmente en mantenimiento)

Origen del envío – Servidor abusado desde hace mas de 2 meses

Varios de estos correos phishing de hoy tuvieron una misma dirección de origen: 50.97.119.205
Una búsqueda en Robtex nos informa que hay 5 nombres de host que tienen esa dirección IP:

Parquedelacosta.com.ar, scp.com.ar, http://www.parquedelacosta.com.ar, http://www.trendelacosta.com.ar and 50.97.119.205-static.reverse.softlayer.com point to 50.97.119.205.

Con esto confirmamos lo que indican los encabezados del correo phishing Visa de hoy: estos phishing fueron enviados desde un servidor de parquedelacosta.com.ar

Encabezados de correo phishing Visa del 02/07/13

Es evidente que ese servidor está mal asegurado y están abusando del mismo por algún medio. Pueden haber robado credenciales, o haber tomado control gracias a alguna debilidad o mala configuración.

Anteriormente el 30 de mayo pasado, hace más de 30 días, y a raiz de otro phishing denunciado, nuestro compañero Adolfo de Segu-Info tomó contacto con personal técnico de esa empresa del parquedelacosta.com.ar y le informó que se estaban originando envios de correos fraudulentos desde su servidor, ellos confirmaron el tema e identificaron el servidor, fue a raiz de un phishing Visa como este:

Encabezados de correo phishing Visa del 30/05/13

Revisando otras denuncias recibidas en Segu-Info, nos encontramos con otros dos casos: uno reciente del 28 de junio y uno anterior del 16 de abril pasado también de phishing Visa, ambos enviados desde el mismo servidor de parquedelacosta:

Encabezados de correo phishing Visa del 16/04/13

Encabezados de correo phishing Visa del 28/6/13

Evidentemente la gente de parquedelacosta.com.ar no ha dado importancia que corresponde al caso y permiten que, después de un mes de haber tomado conocimiento del tema, los delincuentes sigan abusando de su servidor para enviar correos falsos de Visa.

Raúl de la Redacción de Segu-Info

§ 2 respuestas a Phishing de VISA enviado desde parquedelacosta.com.ar después de ser advertidos hace 30 días

  • Anonymous dice:

    Parque de la bosta ….

  • Anonymous dice:

    yo también he recibido el famoso e-mail. Lo gracioso es que por ejemplo en el mismo mensaje que piden datos personales para restablecer la supuesta tarjeta de crédito visa dejan enlaces a redes sociales. El enlace hacia twitter es el siguiente:https://twitter.com/VizaArg #locos que al menos dejan pistas de su fraude con tamaña cuenta en twitter peeero el resto puede pasar por verdadero si no fuera por ese enlace. Me figura parque de la costa como encabezado tmbn y el supuesto remitente es Visa Argentina . Saludos espero que sirva de algo advertir sobre estas estafas aunque con semejante cuenta en twitter…jaja.

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Phishing de VISA enviado desde parquedelacosta.com.ar después de ser advertidos hace 30 días en Seguridad Informática.

Meta

A %d blogueros les gusta esto: