Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos |
BarcPhish es un mensaje de correo electrónico de tipo phishing, dirigido a usuarios de Barclays Bank. Intenta engañar a los usuarios para que proporcionen la siguiente información: - Detalles de la tarjeta bancaria: Número de tarjeta, Fecha de caducidad, CVV (Card Verification Value).
- Detalles para banca online: Apellidos, Número de miembro, Código de paso de 5 números, Palabra memorable.
- Detalles para banca por teléfono: Número de cuenta, Identificación de oficina, Balance, Límite, Contraseña para operaciones telefónicas.
|
Metodo de Infección
BarcPhish es un correo electrónico de phishing, que trata de engañar al usuario mediante el siguiente proceso:
- Aparenta provenir de una fuente confiable, ya que falsifica la dirección de correo del remitente.
Los siguientes son sólo algunos ejemplos:
Barclays [operator-9567967482713id@barclays.com]
Barclays IBank [custsupport_887091657502389id@barclays.com]
Barclays plc [custsupport-112443id@barclays.com]
Barclays United Kingdom [operate_ref779752443857id@barclays.com]
Barclays IBank [custsupport_887091657502389id@barclays.com] - El mensaje exhorta a los usuarios a que pulsen un enlace para acceder al sitio web de Barclays Bank y confirmar sus datos bancarios, debido a una actualización de su software.
El enlace incluido en el mensaje puede ser cualquiera de los siguientes:
http://www.barclays.co.uk/ brccontrol.taskstart.iousfo.ph/ detailsconfirm
http://www.barclays.co.uk/ brccontrol.taskstart.ondogg.im/ detailsconfirm
http://www.barclays.co.uk/ brccontrol.taskstart.beodac.hk/ detailsconfirm
http://www.barclays.co.uk/ brccontrol.taskstart.alathe.ph/ detailsconfirm
http://www.barclays.co.uk/ brccontrol.taskstart.aboutkohas.biz/ detailsconfirm
Tenga en cuenta que estas páginas no existen realmente en el sitio web legítimo de Barclays Bank. - En realidad, dichos enlaces no llevan al sitio de Barclays Bank, sino a una copia falsificada, alojada en las siguientes direcciones:
http://www.barclays.co.uk.brccontrol.taskstart.iousfo.ph/ detailsconfirm
http://www.barclays.co.uk.brccontrol.taskstart.ondogg.im/ detailsconfirm
http://www.barclays.co.uk.brccontrol.taskstart.beodac.hk/ detailsconfirm
http://www.barclays.co.uk.brccontrol.taskstart.alathe.ph/ detailsconfirm
http://www.barclays.co.uk.brccontrol.taskstart.aboutkohas.biz/ detailsconfirm - Los sitios web falsificados contienen un formulario que solicita información al usuario:
- Detalles de la tarjeta bancaria: Número de tarjeta, Fecha de caducidad, CVV (Card Verification Value).
- Detalles para banca online: Apellidos, Número de miembro, Código de paso de 5 números, Palabra memorable.
- Detalles para banca por teléfono: Número de cuenta, Identificación de oficina, Balance, Límite, Contraseña para operaciones telefónicas.
Las páginas falsificadas tienen la siguiente apariencia:
- Si el usuario introduce su información confidencial en el sitio falsificado, ésta será capturada por los autores de este fraude.
- Después, el navegador web es redirigido hacia el sitio web legítimo de Barclays Bank.
Método de Propagación
BarcPhish no se propaga automáticamente por sus propios medios. Llega al ordenador en un mensaje de correo electrónico con las siguientes características, que ha sido enviado masivamente:
- Asunto: uno de los siguientes:
Barclays bank - Security Update, Please Read
Barclays bank 0nline
Barclays bank official update
Barclays bank: client's data verification
Barclays bank: Please VaIidate Your Account
Barclays bank: SECURITY UPDATE
Barclays bank: urgent notice from billing department
Identity Theft Solutions From Barclays bank
Important account notification
Important information from Barclays bank billing department
Official information to all Barclays bank clients
Private urgent message from Barclays bank
Urgent Notification From BiIIing Department
Urgent Security Notification
Verify your data with Barclays bank - Contenido: tiene la siguiente apariencia:
Otros Detalles
Los sitios fraudulentos están alojados en Corea. La información WHOIS para las páginas falsificadas es la siguiente:
IPv4 Address : 211.37.75.0-211.37.75.255
Network Name : HANANET-INFRA
Connect ISP Name : HANANET
Connect Date : 19981001
Registration Date : 20041014
Publishes : Y
[ Organization Information ]
Organization ID : ORG3930
Org Name : Hanaro Telecom Inc.
Address : Yeoeuido-dong Yeongdeungpo-gu SEOUL
Detail address : 17-7 Asia One Bldg.
Zip Code : 150-874
[ Technical Contact Information ]
Name : IP Manager
Org Name : Hanaro Telecom Inc.
Address : Yeoeuido-dong Yeongdeungpo-gu SEOUL
Detail address : 17-7 Asia One Bldg.
Zip Code : 150-874
Phone : +82-2-106-2
E-Mail : ******@hanaro.com