Hoy en día, por desgracia, están muy presentes las llamadas campañas de Phishing. Un phishing se podría definir como que es una técnica que utilizan los cibercriminales mediante la cual engañan a la víctima para que les proporcione información sensible como datos personales, bancarios o credenciales.

Una de las campañas de phishing que nos encontramos es la siguiente:

Captura del SMS fraudulento utilizado para iniciar la campaña de phishing contra Bankinter solicitando credenciales bancarias

En este caso tratan de suplantar al banco Bankinter. El modus operandi es enviar mensajes de SMS a gran cantidad de gente haciéndose pasar por el banco. Cuando se accede al enlace que adjuntan redirigen a una web que intenta imitar la original.

Pantallazo de la web falsa que simula la banca online de Bankinter tras hacer clic en el enlace del SMS

El proceso en esta web es el siguiente: primero el usuario tiene que introducir sus credenciales (sean las que sean, avanzas al siguiente paso), a continuación te piden que introduzcas todos los datos de tu tarjeta.

Pantallazo del paso donde las víctimas introducen sus credenciales bancarias en la web falsa

Y por último supuestamente te tiene que llegar un mensaje al teléfono móvil para confirmar toda la operación pero este código, obviamente, nunca llega.

Captura del último paso de la estafa que solicita un código de confirmación móvil que nunca llega

Analizando el dominio

Lo primero que nos fijamos en el dominio es que es bastante extraño:

  • bankintre-servicio-es-usario.com

Este dominio parece que intenta engañar al usuario haciendo pasar como algo relacionado con el servicio técnico de bankinter. En el dominio hay dos faltas de ortografía que ya si que sí nos deberían hacer sospechar. Lo primero en el dominio no está la palabra bankinter si lo “bankintre y en vez de usuario pone “usario”

Con una sencilla búsqueda en Google podemos encontrar el dominio original que utiliza este banco.

Detalle del dominio ‘bankintre-servicio-es-usario.com’ con errores ortográficos usado para engañar a víctimas. Captura del dominio original

Análisis técnico

Lo primero que se suele hacer en estos casos es consultar el whois del dominio para obtener quien es el responsable.

Captura del resultado WHOIS del dominio fraudulento mostrando datos falsos del registrante

En este caso nos sale un tal “Galtier Michel” pero en estos casos suelen tratarse de datos falsos.

Si seguimos investigando la web se encuentra algo muy interesante. En la raíz hay un directory listing y se encuentra un zip con una copia de la web. Esto claramente ha sido un descuido por parte de los cibercriminales.

Captura del directory listing expuesto en el servidor de phishing revelando un archivo ZIP con el sitio fraudulento

Analizando los ficheros que encontramos en el ZIP, vemos como está todo el código fuente de la web utilizada para el phishing.

 

Vista del contenido del ZIP que incluye el código fuente completo de la web de phishing

Hay varios ficheros “interesantes” en los que podemos ver la forma en las que se guardan las credenciales que van introduciendo las víctimas. 

Sección del código PHP malicioso que envía las credenciales robadas a través de un bot de Telegram

La forma en la que recoge la información es mediante un bot de telegram. En este caso utiliza la API de telegram haciendo peticiones con PHP para enviar mensajes a un chat.

En esta parte se puede apreciar como en algunos ficheros parece que están firmados por el supuesto autor con el pseudónimo M4rwane

Captura de pantalla donde aparece la firma ‘M4rwane’ en el código fuente del phishing

Con una sencilla búsqueda en Google podemos encontrar un perfil de Instagram, que podría tratarse del autor o estar relacionado de alguna forma (más tarde encontraremos al supuesto autor).

Siguiendo con la otra línea de investigación podemos interactuar con el bot utilizando las credenciales que hemos encontrado antes. Lo primero que hacemos es identificar cuál es el bot para ver si nos aporta más información.

Pantalla mostrando el identificador del bot de Telegram configurado para recibir datos robados

En este caso parece que son letras y números aleatorios o al menos no lo hemos relacionado con ninguna persona o grupo.

Bot de telegram relacionado con el envio de las credenciales robadas

Siguiendo la investigación podemos obtener el nombre del chat al cual el bot le está enviando los mensajes. En este caso el chat se llamaba log kinter y era un grupo.

Vista del grupo de Telegram ‘log kinter’ donde se almacenan las credenciales robadas

Indagando un poco más en la información que podemos obtener de este grupo, podemos ver el usuario propietario. Se trata del usuario con el alias Mister_IB.

Captura del perfil ‘Mister_IB’ identificado como el posible propietario del grupo de Telegram usado en la estafa

A partir de aquí lo que haríamos seguir usando técnicas de OSINT para buscar más información acerca del propietario del grupo así como intentar obtener todos los miembros y mensajes pero en esta investigación nos vamos a quedar hasta aquí.

Situación actual

Si se intenta entrar en la web a día de hoy (08/04/2020) aparecerá que no está disponible y que fue dada de baja el día 2. Aunque en el servicio pone que empezó a estar activa el día 3, en realidad se empezaron a detectar casos como pronto el día anterior. 

Información sobre el transcurso del dominio en la red

Un phishing es un ataque en el que podemos caer cualquiera, si ha sido víctima, póngase en contacto con nosotros y le ayudaremos.