Nuevo ataque de fraude bancario (phishing) contra Banamex en routers ADSL 2wire de Prodigy Telmex

Reportan en el hacker.net y en hispasec, que se ha detectado un nuevo ataque de phishing que modifica la configuración DNS de algunos modelos de routers ADSL, particularmente los 2Wire (1701HG, 1800HW y 2701) que distribuye Prodigy Telmex aqui en México. El ataque detectado se dirige a usuario de Banamex y de Bancanet.

El resultado es un ataque transparente, por sus caracteristias no es detectado por ningún antivirus o software de seguridad, llevará a los usuarios a una web falsa (phishing) cada vez que introduzcan en su navegador la dirección correcta de la entidad bancaria.

El ataque ha sido lanzado a través de spam o correo electrónico indeseado. Los usuarios reciben un mensaje de correo electrónico que invita a dar clic en un enlace para visitar una postal virtual. Si el usuario visita la página podrá observar una animación flash inofensiva, pero en el fondo, estará intentando al mismo tiempo modificar la configuración de su enrutador de conexión a Internet.

En concreto, la página web incluye en su código HTML llamadas a direcciones internas, relativas a direcciones IP con las que suelen estar configurados por defecto la interfaz LAN de los enrutadores.

Ese rango de direcciones IP o subredes, como por ejemplo 192.168.x.x ó 172.16.x.x, son direcciones privadas que no están accesibles desde Internet, y que suelen utilizarse para conectar las computadoras con el enrutador ADSL.
Las URLs que el ataque esconde en la página web están construidas para inyectar nuevas entradas en el DNS de determinados dispositivos, en concreto en los routers/gateways de 2wire modelos 1701HG, 1800HW y 2701.

A efectos prácticos, una vez llevado a cabo el ataque, cada vez que el usuario intente visitar la web de Banamex el enrutador resolverá a una IP diferente, y en el navegador aparecerá una web falsa de phishing que le solicitará el usuario, password de accceso y la clave dinámica Netkey del token.

Todo ello pese a que en todo momento el usuario visualizará en su navegador el dominio correcto de Banamex, si bien no el https de servidor seguro. Una vez la información es capturada, los atacantes podrán hacerse pasar por la víctima y realizar transacciones en su nombre.

Este ataque es multiplataforma debido a que usa bugs a nivel de capa de red comunes a todos los sistemas operativos que usen TCP/IP (Windows, Linux, MacOS, etc.)  todo depende de si el modelo de router ADSL es vulnerable.

Para evitarlo es recomendable que se configure el enrutador para que requiera siempre autenticación para realizar cambios en su configuración.

Todos los detalles del ataque, incluyendo capturas de pantalla del correo electrónico donde se distribuye, la web de la postal virtual, detalles de las URLs de ataque y páginas de phishing, pueden ser consultadas en el blog del laboratorio de Hispasec:

http://blog.hispasec.com/laboratorio/255

La recomendación a los usuarios es que eviten visualizar mensajes de spam y, sobre todo, no dar clic en ninguno de sus enlaces. También deben interesarse por la seguridad de sus routers ADSL, exigiendo a las operadoras o instaladores que los dispositivos instalados estén libres de vulnerabilidades conocidas y que permitan establecer una password de autenticación personalizada (no dejar la que traen por defecto).

Instalar una solución de seguridad efectiva (no todos los antivirus son iguales) y mantener sus sistemas y navegadores puntualmente actualizados.

También es importante estar al día de los fraudes online más comunes (saber que es un phishing, comprobar el https antes de introducir nuestras credenciales de acceso, no abrir ejecutables de fuentes no confiables, etc). En definitiva, sentido común y responsabilidad a la hora de utilizar nuestro sistema, navegar por Internet, y emplear servicios sensibles como la banca electrónica.

Si te gusto este post y quieres recibir todos los articulos nuevos suscribete a mi feed RSS!