lunes, 26 de septiembre de 2011

Hoax / Phishin: "Notificacion BBVA Banco Provincial" Venezuela


Mucho tiempo sin escribir! pero aqui estamos de regreso, esta vez para alertar a los usuarios del Banco Provincial de Venezuela, me ha llegado este extraño correo (Yo ni siquiera tengo cuenta en este banco) en el cual se me invita a validar mis datos, viendo el emisor del correo supuestamente viene de provinet@provincial.com; todos sabemos que no es fiable la direccion del emisor, esto puede ser facilmente cambiado, por lo que procedi a revisar el codigo del correo:

Return-Path: <provinet@provincial.com>

Estas lineas nos dicen que el correo fue enviado desde una conexion de ABA, es decir procede de Venezuela:


Received: from 10ibl21ser02.datacenter.cha.cantv.net (ace-nat.ric2.cantv.net [10.128.141.4])
    by 10ibl20ser08.mgmt.cantv.net (8.14.3/8.14.3/1.0) with ESMTP id p8QCG2W4013422;
    Mon, 26 Sep 2011 07:46:02 -0430
X-Virus-Scanned: amavisd-new at cantv.net
X-Spam-Flag: YES
X-Spam-Score: 8.929
X-Spam-Level: ********
X-Spam-Status: Yes, score=8.929 tagged_above=-9999 required=6.2
    tests=[BAYES_00=-1.5, FORGED_MUA_OUTLOOK=2.5,
    FORGED_OUTLOOK_HTML=0.001, FROM_MISSP_DYNIP=1.865,
    FROM_MISSP_MSFT=0.438, HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.199,
    MSOE_MID_WRONG_CASE=0.96, NORMAL_HTTP_TO_IP=0.795,
    NSL_RCVD_FROM_USER=0.997, RDNS_DYNAMIC=1.663, T_FROM_MISSPACED=0.01]
    autolearn=unavailable
X-DNSBL-MILTER: Passed
Received: from smtpout.karoo.kcom.com (smtpout.karoo.kcom.com [212.50.160.34])
    by 10ibl21ser02.datacenter.cha.cantv.net (8.14.3/8.14.3/3.0) with ESMTP id p8QCEsC5025917;
    Mon, 26 Sep 2011 07:45:51 -0430
X-Matched-Lists: []
X-IronPort-AV: E=Sophos;i="4.67,591,1309734000";
   d="scan'208,217";a="807474345"






Las siguientes lineas nos revelan el servidor desde donde fue enviado el correo:
Received: from unknown (HELO silkevent.com) ([91.85.211.200])
  by smtpout.karoo.kcom.com with ESMTP; 26 Sep 2011 13:14:16 +0100
Received: from User ([173.14.129.65]) by silkevent.com with Microsoft SMTPSVC(6.0.3790.4675);
     Mon, 26 Sep 2011 13:06:00 +0100
From: "PROVINET"<provinet@provincial.com>
Subject: ***SPAM*** Notificacion BBVA Banco Provincial
Date: Mon, 26 Sep 2011 08:05:42 -0400
MIME-Version: 1.0
Content-Type: text/html;
    charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Message-ID: <SVR2003SxvjPkQTGpao00000110@silkevent.com>
X-OriginalArrivalTime: 26 Sep 2011 12:06:00.0937 (UTC) FILETIME=[A8413D90:01CC7C44]
X-SPF-Scan-By: smf-spf v2.0.2 - http://smfs.sf.net/


Finalmente nos dicen que fue cambiado el emisor del correo:
Received-SPF: SoftFail (10ibl21ser02.datacenter.cha.cantv.net: transitioning domain of provinet@provincial.com
    does not designate 212.50.160.34 as permitted sender)
    receiver=10ibl21ser02.datacenter.cha.cantv.net; client-ip=212.50.160.34;
    envelope-from=<provinet@provincial.com>; helo=smtpout.karoo.kcom.com;

Ok, ya sabemos que es falso, vamos mas alla para verificar hacia donde van los enlaces:



Que extraño, el enlace nos lleva un sitio totalmente distinto al acostumbrado https://www.provincial.com/ fijense la diferencia! la direccion real del banco provincial utiliza HTTPS es decir el protocolo de transferencia hipertextual Seguro, es lo primero que deben revisar para saber si estan accediendo a una pagina real de su banco, todas, sin excepcion utilizan el HTTPS.
Si entramos en la pagina se puede ver muy igual a la pagina verdadera del banco pero no lo es, ya sabes que estas accediendo a un sitio fraudulento donde te van capturar tus datos y robarte saldo de tu cuenta, fijense que incluso llegan a pedir que llenes tu mismo todos los codigos de la matriz de seguridad, eso nunca se pide, por lo tanto es super falso este sitio, avisales a tus amigos, no caigas en estas trampas.




No hay comentarios:

Publicar un comentario