Me pusieron una denuncia por

Tecnogal · #1 (**permalink**) 02/03/2007, 23:08

Cita:

Estimado usuario:

Le informamos que su sitio ha sido suspendido por denuncia de phishing.

Debe autorizarnos a borrar lo siguiente, para habilitar el mismo:

"algunos archivos aqui uno del tipo /banamex"

Además debe corregir o borrar las aplicaciones vulnerables que posea, y
que también, verificar el resto del sitio en busca de archivos que no haya subido.

______________

Copia de la denuncia:

Asunto: ABUSE PHISHING Fraudulent site hosted at your company: http://caballerosdeltablero.com/bana...etempresarial/
De: "Sun, David C [CCC-CSIS]" <[email protected]>
Para: abuse@********.com, info@********.com, marketing@********.com
CC: "Block Now" <[email protected]>, "Frances Marra \(E-mail\)" <[email protected]>,
"John Pignataro \(E-mail\)" <[email protected]>, [email protected],
"Vishant B Patel \(E-mail\)" <[email protected]>, "Vito Ciaramella \(E-mail\)" <[email protected]>
Fecha: 02/03/2007 19:38

Dear Sir or Madam,

We have become aware of a fraudulent email requesting individuals to go to a fraudulent website,
that is being hosted by your company, and input confidential personal information. Contained
in the email is an embedded URL.

URL: http://caballerosdeltablero.com/bana...etempresarial/

IP Address: 200.58.114.13

PLEASE PROVIDE US WITH THE CONTENT OF THE PHISHING SITE AND ANY AVAILABLE LOGS (ACCESS, FTP,
MAIL, & WEB).

The email did not originate from Banamex and this site is not an authorized Banamex site, nor
did Banamex grant permission for their name or logo to be used by the individuals who created
this site. The email and site were created to capture unsuspecting Banamex customer's confidential
information for Identity Theft and to commit fraud.

At this time, we are requesting your assistance to disable this URL as soon as possible. We are
also requesting that any Banamex customer information captured by this fraudulent site be sent to
us immediately so that we can protect our customers accounts from fraudulent activity. If this
information was not stored on your server we require the IP or E-mail address where the information
was sent. Failure to provide such information will result in Banamex seeking restitution from
your company for any fraud committed after receipt of this email. Please be advised we take this
matter with the utmost seriousness and are willing to work with you in capturing these fraudsters.

Please advise by email or telephonically when action has been taken.

I appreciate your assistance with this matter. If you have any questions, please do not hesitate
to contact me at the numbers provided below.

Regards,

David Sun
SIRT Investigation
Citigroup Security & Investigative Services
111 Wall Street, 19th Floor
New York City, NY 10005
[email protected]
212-657-3736

PROPRIETARY: This email message and its contents are Citigroup proprietary. It is intended
for use by the recipient(s) of this email. If you are not the intended recipient or received
this by error, please destroy the email (and attachments) and notify the sender via email.

No si a alguien mas le ha pasado algo asi, la verdad no me gusto no se como demonios llego esa capeta de banamex a mi servidor o que onda... Por lo pronto yo ya autorize a borrar esos archivos. Pero si alguien sabe algun caso parecido o que onda con esto agradeceria mucho la ayuda

Y yo crei que era por lo ebooks jejeje.

MinervaH · #2 (**permalink**) 03/03/2007, 09:14

Hemos tenido un par de casos en el último año, siempre es por lo mismo, algún script obsoleto con vulnerabilidades que son explotadas para subir esos ficheros.

Dicho de otra manera, te "han colado" esos ficheros, y lo volverán a hacer si no actualizas TODOS los scripts que uses en tu web.

Tecnogal · #3 (**permalink**) 03/03/2007, 21:51

Ya borre varios cambie contraseñas de las bases de datos etc.. me voy a quedar con dos muy sencillas, lo que se es que la ip estaba registrada en china...creo que no puedo hacer mucho mas verdad? lo que me daba algo de no se que es que quisieran tomas medidas mas drasticas...yo solo soy una ajedrecista inocente

MinervaH · #4 (**permalink**) 04/03/2007, 03:03

Lo importante es que mantengas actualizados tus scripts, ahora y en el futuro. Es la mejor forma de evitar estos problemas. Es algo que nunca nos cansamos de repetir a nuestros clientes, aunque pocos nos hacen caso.

Revisa también ficheros en tu cuenta, por si te han colado alguna shell PHP con la que puedan ver los ficheros.

Si sabes la IP puedes decírsela a tu hosting y podrá bloquearla en su firewall, aunque no suele servir de mucho si tiene IP dinámica.

eContento · #5 (**permalink**) 05/03/2007, 03:18

Hola,

Un sistema bastante bueno, si usas un lenguaje de servidor, es que al principio de cada script JSP, PHP, o ASP crítico es que compruebes que el referer es una página tuya. Por ejemplo, si tienes un script que manda un email a tus usuarios para validar un email de suscripción, o que sube un archivo por input type file, o cosas así, lo mejor es comprobar que la página de la que recoje las variables GET o POST es tuya.

Otra opción es limitar en el archivo .htacces el que el servidor web sólo sirva los archivos que tú quieras.

Son dos medidas simples que te pueden ahorrar muchos quebraderos de cabeza. Aunque son muchas las formas en que se pueden aporvechar de vulnerabilidades.

Un saludo,
eContento

Carlos Campos · #6 (**permalink**) 05/03/2007, 13:45

Ojala te sirva:
Me llego un mail (en teoria del Banco de Credito del Peru) checkealo:

QUOTE

Estimado Cliente de BCP,

Según nuestros registros informáticos, hemos detectado recientemente que los accesos a su cuenta a través de Banca en la Red han sido realizados desde diferentes direcciones IP.

Esto seguramente se debe a que la dirección IP de su computador es dinámica y varía constantemente.

Debido a este suceso y en cumplimiento con la nueva normativa vigente, hemos actualizado nuestros sistemas informáticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectúe una verificación de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del 07 de Marzo del 2007. Transcurrida esa fecha, el sistema informático automatizado dara de baja su cuenta. Asi mismo le recordamos que este correo no es para verificar los datos de su tarjeta es solo para verificar la actividad, ya que no lo hacemos.
De ante mano le agradecemos su cooperación en este aspecto.
Para ingresar a su cuenta a través de Banca en la Red y verificar la actividad de la misma, debe utilizar el siguiente enlace:
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea

Banco de Credito del Peru © 2007

UNQUOTE

Este link (si posicionas el cursor sobre el mismo) hace referencia a esta pagina:

https://caballerosdeltablero.com/bcpzonasegura.viabcp.com

Ya reporte el mail al banco y obvio me confirmaron que era algun intento por saber mi clave a fin de retirar el efectivo.

Ojala seas la persona correcta, y que este tipo de estafa se detenga en el corto plazo.

Slds

Tecnogal · #7 (**permalink**) 05/03/2007, 13:57

exactamente ayer me llego un correo de un sr que decia que no podia acceder al likn por que ya lo borro mi servidor y demas, se lo notifique y ahi murio, hoy volvio a llegar una carta con lo mismo y tenemos la direccion IP, segun el bbclone(el sistema de estadisticas que tengo) es de china, estoy empezando ano dormir por las noches, pues si me presiona....

Lo que dice eContento me parece muy interesante...cuando vuelva a tener acceso a mi servidor como puedo cambiar eso, me duro activo un dia y solo alcanze a cambiar contraseñas y usuarios de la base de datos, pero ya nos e si se volvieron a meter o algo quedo por ahi.

0Db · #8 (**permalink**) 13/03/2008, 07:17

A mi me ocurrió lo mismo. Hace un tiempo adquerí un chat (Flashchat), para mi sitio web, tengo una radio online en la web, subí la carpeta completa del chat a mi servidor y lo configuré como todo me decía su tutorial, andaba fabuloso... hasta que un día me llega un mail del servidor donde hospedo mi sitio web, que decía lo siguiente:

"Nos vimos obligado a suspender su cuenta debido a que hemos recibido una denuncia por el delito encuadrado dentro del ámbito de las estafas. Usted ha intentado adquirir información confidencial de forma fraudulenta (En este caso contraseñas de acceso).
Lamentablemente debemos considerarlo un "Pisher" (Estafador en inglés) ya que ha intentado hacerse pasar por otra persona utilizando la comunicación oficial electrónica (correo electronico) utilizando datos de usuario y contraseña de la empresa eBay (Denunciante). Dado al creciente numero de denuncias de incidentes realizadas en su contra relacionadas con el "Phishing" nos hemos visto a tomar cartas en el asunto y denunciar su sitio web ante el Ministerio de Relaciones Exteriores para que tome las medidas necesarias en su contra..."

Por consiguiente tuve mi sitio suspendido durante varios días hasta que la gente de "nic.ar" lo reviso completamente, elimino algunos escripts que venian en el programa y ahí entonce me lo habilitaron definitivamente, sugiriendome eliminará el chat de mi sitio. Por suerte no paso de ahí, aunque despúes averigué que mi web aparecía en sitios destinados a denunciar a web-pisher (estafadoras). Yo nunca intenté hacer algo ilegal, pero bueno aveces uno comete errores por no saber, es por ello que les recomiendo que tengan mucho cuidado y revisen los scripts o los actualizen, para que no les suceda lo mismo. Muchos saludos. Juan Carlos.