A continuación se dará a conocer un error en la web del BBVA, el cual haría mas fácil la practica de Phishing con los clientes/usuarios del mismo.
El Banco Francés ha sido alertado de dicho error, pero no dado respuesta alguna, ni ha intentado arreglar esta simple falla, que mas que una falla es un error de programación, ya que con unas líneas mas de código en JavaScript se solucionaría el problema.
Los errores que se darán a conocer a han sido descubiertos por
Cyervo y Martín Aberastegue (Xyborg).
El BBVA ya es muy conocido por los casos de SCAM que han sido
publicados, en los cuales se intentaba obtener datos de sus
clientes para posteriores estafas y/o robos/trasferencias de
dinero hacia otras cuentas.
| A tener en cuenta:
SCAM – Engaño con intención de estafa o fraude, que PHISHING – Técnica utilizada para obtener información |
La falla o error mas importante o peligrosa según nuestro
parecer, es la siguiente:
http://www.bbva.com.ar/bf/bbvafrm.html?centro=sv_servicio.htm&id1=2&id2=1
donde el contenido de la variable "centro" es igual al nombre
del documento que será mostrado en el marco central de dicha
web. El error esta en que no se controla el contenido de la
misma, y si por ejemplo en lugar de "ddd.html", colocáramos
una URL del tipo "http://webatacante/formulario/",
lo que veríamos en la web seria el contenido de esta ultima,
quedando una URL como la siguiente:
http://www.bbva.com.ar/bf/bbvafrm.html?centro=http://www.rzw.com.ar/research/bbva/&id1=2&id2=1
pero como es muy fácil darse cuenta de lo estaría sucediendo
aquí, o que es muy sospechoso, se podría ofuscar la misma
reemplazando los caracteres por sus equivalentes en ASCII
Hexadecimal, lo cual seguiría siendo totalmente valido y menos
sospechoso a simple vista:
http://www.bbva.com.ar/bf/bbvafrm.html?centro=h%74%74%70:%2f%2f%77%77%77%2erz%77%2e%63%6f%6d.%61%72%2f
%72%65%73%65a%72%63%68%2fb%62%76%61%2f&id1=2&id2=1
De esta forma, un usuario/cliente del BBVA caería en la trampa
de la solicitud de datos, ya que la web en la que estaría
completando los datos es la oficial del banco, y no una
parecida como en los otros casos de SCAM del BBVA.
Este error podría ser solucionado fácil y rápidamente
controlando que el contenido de la variable "centro" no
comience con "http://", lo que limitaría este tipo de engaños.
Pueden ver un ejemplo NO funcional de un tipo de ataque en la
siguiente URL:
http://www.bbva.com.ar/bf/bbvafrm.html?centro=h%74%74%70:%2f%2f%77%77%77%2erz%77%2e%63%6f%6d.%61%72%2f
%72%65%73%65a%72%63%68%2fb%62%76%61%2f&id1=2&id2=1
Los otros errores descubiertos en la web del BBVA son del tipo
XSS (Cross Site Scripting), que permitirían la ejecucion de
codigo malicioso si se quisiera, en el navegador de un
usuario/cliente de dicho banco; lo que podria llegar a hacer
posible el secuestro/robo de sesiones del mismo.
Este error se encuentra en la seccion de logueo de usuarios,
tanto de la banca personal como empresarial, ya que si en
lugar de nuestro DNI/LC/LE/Cedula/Pasaporte/CUIL/CUIT etc,
ingresamos la siguiente cadena:
"><script>alert(document.cookie);</script>
al devolvernos un error ya que los datos no se corresponderian
con los de ningun usuario valido, cuando intente mostrarnos
estos datos nuevamente, la primera parte de la cadena ‘">‘
cerraria la etiqueta de la caja de texto, permitiendo la
ejecucion de la sentencia en JavaScript: ‘<script>alert(document.cookie);</script>‘,
que en este caso solo nos mostraria un mensaje de alerta con
el contenido de nuestra cookie, pero se podria ejecutar
cualquier codigo malicioso si se quisiera.
Para tener en cuenta:
El propio banco advierte en sus páginas, que información privada y/o personal, sólo debe ser ingresada en las denominadas páginas seguras, identificadas con una dirección que comienza con “https://”, al mismo tiempo que en la parte inferior del navegador se muestra la imagen de un “candado cerrado” o de una “llave”.
Tampoco se deben facilitar estos datos a nadie, aún cuando manifieste solicitarlas en nombre del banco.
En caso de que por cualquier motivo se hubieran facilitado las claves, estas deberán ser cambiadas de forma inmediata, debiéndose poner el usuario en contacto con dicho banco a la brevedad posible.
Consejos:
1. Desconfíe siempre de un mensaje como el indicado. Cerciórese antes en los sitios principales, aún cuando el mensaje parezca “real”. Toda vez que se requiera el ingreso de información confidencial, no lo haga sin estar absolutamente seguro.
2. Preste atención al hecho de que cualquier compañía responsable, le llevará a un servidor seguro para que ingrese allí sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http: (note la “s” al final). Un sitio con una URL https: es un sitio seguro. Pero recuerde que eso solo significa que las transferencias entre su computadora y el sitio serán encriptadas y protegidas, de ningún modo le asegura que el sitio es real.
Note que el servidor seguro, no necesariamente es al que usted ingresa cuando entra a un sitio como el de un banco. Pero si debe serlo en el momento en que ese sitio lo lleve a algún formulario para ingresar datos confidenciales.
Compruebe SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el Outlook Express le muestra abajo la misma dirección.
3. Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo en el rincón inferior a su derecha. Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido.
4. Si aún cumpliéndose las dos condiciones mencionadas, duda de la veracidad del formulario, no ingrese ninguna información, y consulte de inmediato con la institución de referencia, bien vía correo electrónico (si es una dirección que siempre usó), o mejor aún en forma telefónica.
De todos modos, recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente.
Debe tener en cuenta de que una entidad bancaria nunca le
pedirá a usted que le facilite datos tales como su nombre de
usuario y/o claves de acceso, ya que los mismo solo debe
saberlos en dueño de la/s cuenta/s.
Más información sobre SCAM:
Nuevo timo a clientes del Grupo Banco Popular
http://www.vsantivirus.com/scam-grupobanco2.htm
Timo a clientes del Grupo Banco Popular de España
http://www.vsantivirus.com/scam-grupobanco.htm
¡Sigue la estafa contra usuarios de BBVA Net!
http://www.vsantivirus.com/scam-bbvanet2.htm
Un viejo truco de ingeniería social
http://www.vsantivirus.com/mm-bbva-scam.html
Alerta de SCAM con cuentas de BBVAnet
http://www.vsantivirus.com/scam-bbvanet.htm
Fallas en sistemas bancarios:
Falsa sensacion de Seguridad (HomeBanking
RedLink)
http://www.rzw.com.ar/article1467.html
Creditos:
Cyervo
Martin Aberastegue
Autor:
Martin [XyborG] Aberastegue
Nota: Para este articulo he tomado como base los articulos citados
anteriormente pertenecientes a
VSAntivirus, sitio
que remiendo personalmente a todo usuario novato y/o avanzado para estar al dia
en temas no solo en temas sobre Virus sino Seguridad Informática y casos de
estafas/fraudes/SCAM a entidades bancarias y/o sitios que manejen datos criticos
de usuarios.
Opinion:
Hoy en dia son muchisimas las empresas o entidades que por ahorrarse un poco
de dinero o beneficiarse fraudulentamente delegan el desarrollo de aplicaciones
para el manejo de este tipo de datos a personas o empresas que no estan al dia
en temas que son criticos para la privacidad de los usuarios de dichos sistemas,
tal es el caso del HomeBanking de RedLink, que era y sigue siendo altamente
vulnerable a Inyeccion SQL y/o XSS, pero por no admitirlo no responden a los
avisos enviados, siendo asi los unicos perjudicados los clientes de las
entidades que utilizan estos PESIMOS/MAL PROGRAMADOS sistemas.
Estas empresas y sus directivos deberian preocuparse un poco mas por la
privacidad de los datos que sus usuarios les confían que en delegarle las tareas
de desarrollo a las empresas que le dan una coima mas grande a los responsables
de las mismas para que contraten sus servicios.
Cuando se les da el aviso a estas entidades, no se les dice que se les va a
cobrar por decirles donde estan dichas falla/errores o por enseñarles como
solucionarlos, les solicitamos que nos contacten nada mas, y en caso de un
respuesta positiva, con gusto se les dice como solucionar dichas fallas, NO le
cobramos a nadie por demostrarles como pueden asegurar sus sistemas, no somos
esa clase de gente; nos dedicamos a esto porque nos gusta nada mas, no para
extorsionar a empresas/entidades. Estas fallas se hacen publicas solo si estas
entidades/empresas no responden o hacen oídos sordos a nuestros avisos/reclamos.
Martin [XyborG] Aberastegue
Publicidad