Analisis del ataque phishing lanzado a los clientes de BANCOLOMBIA, ayer 8 de Junio.

No abran el mensaje:
BANCOLOMBIA ALERTA URGENTE! CUENTA BLOQUEADA SEGUNDO AVISO COD 0847
[hr]
Es un intento de robarse tu informacion personal. Para mas detalles puedes ver la noticia en video.


http://sistemasycontroles.net/documentos/phishing/FirstFrame.png

VER VIDEO / 22MIN / MEGAVIDEO (http://www.megavideo.com/?d=GH6I6FTT)

DESCARGAR VIDEO / 26MB / MEGAUPLOAD (http://www.megaupload.com/?d=GH6I6FTT)

Este video es un adelanto del material que te estamos preparando, a modo de información rapida para prevenir a las posibles vitimas de este fraude.
Este Articulo como tal se encuentra en redacción, el 10 de Junio publicaremos el manual pdf detallado resultado del analisis de nuestro equipo de profesionales, sobre este ataque, asi mismo un manual de implementación de seguridad web que pone fin al phishing.(Tecnica de protección desarrollada en los laboratorios de Sistemas y Controles).

Para ver un avance de la documentación escrita anexa al video visita:
https://docs.google.com/document/d/1IDBTAxFDOH6Aag5CZ2uDQ5H-VkaPsBlKayq7lb_ZQ8g/edit?hl=en_US

[hr]
Información del atacante
186.97.67.1/Dinamic-Tigo186-97-67-1.tigo.com.co IP Address WHOIS | DomainTools.com (http://whois.domaintools.com/186.97.67.1)



[primer proxy] http://rapdiccion.co.cc/www?=security
[segundo proxy] http://admin.colombiasegura.cz.cc/www.php
[ancla de ip dinamica]http://186.97.67.1/https/bancolombia.olb.todo1.com/olb/Init.php


El/Los atacantes estan usando el metodo de conexion inversa, para redireccionar en base a dos ip fijas, el redireccionamiento hacia una ip "dinamica".

La pagina web se hospeda haciendo uso de un modem movil de tigo, que registra en la ciudad de Cali.

Ultima ubicacion GPS conocida del modem:
Latitud : 4.6
Longitud : -74.0833
Google Maps (http://maps.google.es/?ie=UTF8&source=embed&ll=4.6,-74.0833&spn=0.02387,0.038581&z=15)

Hola me gustaría saber como hicieron o quien dio el reporte del GPS?.

Saludos

Use para sacar la info Y para ubicarla entre google maps, y...
186.97.67.1/Dinamic-Tigo186-97-67-1.tigo.com.co IP Address WHOIS | DomainTools.com (http://whois.domaintools.com/186.97.67.1)
IP locator :: IPInfoDB (http://ipinfodb.com/ip_locator.php)

Bueno según la experiencia que tengo sobre este cuento no es correcto ya que quien te puede dar el dato exacto del posicionamiento como lo dijiste en el post de arriba es el módem y si el origen que tienes son bases de datos como las que consultan no son validas ya que no los operadores no muestran este tipo de información.

La información de ubicación la entregan es a entidades como la Fiscalia, Das con ordenes judiciales que le hacen llegar a los operadores para entregar la información aproximada o exacta de quien, en donde, cuando, a que horas ingreso un usuario con esta ip.

Pensé que el diagnostico que se había realizado esta tomado o entregado por el operador celular de igual manera muy completo tu informe pero con esta pequeña nota podría decir que no se tiene aun la ubicación del módem o tecnología utilizada.

Hola la verdad lo que veo es que la información de donde estas sacando la información no es tan exacta, ya que mi experiencia en el tema de redes. El tipo de información que sacas es de fuentes no tan fuertes como las entidades como LACNIC que es la organización quien regula y administra los recursos de direccionamiento en latino américa y caribe. Y esta información la verdad es actualizada y administrada por los ISP donde no informan sobre en que lugar las tienen asignadas y menos cuando son dinámicas. Esta información exacta según entiendo solo la tiene el ISP quien a travez se sus servicios de AAA conocen exactamente quien tiene las direcciones

Esta información es entregada a entidades que realizan solicitudes Judiciales como la Policía, DAS, Fiscalia, mediante solicitudes que hacen a los ISP por escrito para entregar información aproximada o exacta de donde se encuentra la IP.

La verdad pensé que la información que tenias fue entregada por el operador celular entregando la posición de GPS de su módem.

De igual manera muy valioso tu aporte pero con este tema creo que falta ajustar un poco la evidencia referente de donde se origino exactamente el mail, ya que bien se conocen robots o software que puede utilizar a personas para enviar spam y cosas asi.

Saludos

Es que la ubicacion GPS la puse por joder, ningun modem celular obvio te va salir la ubicacion real, cualquiera que haya utilizado navegacion en su laptop por un modem celular, sabra que eso en colombia casi siempre le sale a uno la ip de BOGOTA... yo me "supongo" que es por que el satelite al que se conecta el cel, hace el puente aya. y la compañia de celular maximo podria aislar la ubicacion dentro de cierta manzana de una ciudad, al ellos usar mallas, dentro de las ciudades... la unica forma de obtener con mas precision una ubicacion asi, seria obtener acceso a la laptop que alojaba el site....y mediante un software de aproximacion de GPS por puntos wifi, se sacaria mejor la ubicacion.

samy's geolocation proof of concept (http://samy.pl/mapxss/) <--- OJO QUE ALGUNOS SITIOS ofrecen geolocalizarte un punto por la mac de la pc, eso es fraude solo para armar BD de macs.
ya que si pones una mac inventada, cualquier sitio de esos te va mostrar tu ubicacion , pero gracias a la IP y no a la MAC que ingresaste, lo unico que haces es alimentar su bd de macs y geoposiciones, jejejejej
ver informacion al respecto: Security By Default: Geolocalizando con precisión de cirujano! (http://www.securitybydefault.com/2011/04/geolocalizando-con-precision-de.html)

estas si son reales y seguras
Loki Dashboard (http://hp.loki.com/)
Geolocation in Firefox (http://www.mozilla.com/en-US/firefox/geolocation/)


http://youtu.be/tRJMIMBVqFI