En un momento de «ocio», durante un breve descanso en la oficina, recibimos un mail tratándose de un supuesto aviso de «cancelación de token» que a final de cuentas resultó ser «phishing» a Banorte. Así que de inmediato comenzamos la investigación arrojando los siguientes resultados:
1.Dominios registrados.
bnorte.com.mx
bancomeractivacion.net
bxi-activacion.com
seguridadbxi.com
banortexinternet.com
bancomer-internet.com
bxi-activacion.com
EJEMPLO:
Domain Name: bnorte.com.mx
Created On: 2013-11-19
Expiration Date: 2014-11-19
Last Updated On: 2013-11-19
Registrar: Telmex
URL: http://www.telmex.com
Registrant:
Name: WILBERTH ARMANDO ESPANA
City: guadalajara
State: Jalisco
Country: Mexico
Administrative Contact:
Name: Administrador de Dominios Triara DNS
City: Mexico
State: Distrito Federal
Country: Mexico
Technical Contact:
Name: Administrator de dominios Triara DNS
City: Mexico
State: Distrito Federal
Country: Mexico
Billing Contact:
Name: Pago de Dominios Triara
City: Mexico
State: Distrito Federal
Country: Mexico
Name Servers:
DNS: cloud1.triara.com
DNS: cloud2.triara.com
2. MÉTODO DE ATAQUE
El atacante envió un e-mail desde la dirección enviosbanorte@enviobanorte.com
Al dar «click» fue reedireccionado al sitio www.bnorte.com.mx
En el cual se piden datos como teléfonos, usuario, contraseña, móvil, correo electrónico y números de cuenta, todo esto con la finalidad de que «ejecutivo de cuenta» del banco se contacte con la víctima. Aquí paso a paso.
En base a este pequeña investigación, concluimos que la falta de uso de los dominios «.bank» que han sido liberados por el ICANN desde 2011 aproximadamente además de la ineptitud de los NIC a nivel mundial que autorizan el registro de dominios semejantes a instituciones bancarias y gubernamentales como es el caso de (sat.com.mx, cfe.com.mx, presidencia.com.mx, pgr.com.mx, entre otros) sin verificar mediante algún documento que avale quien registra el dominio apócrifo o cualquier dominio en sí. A consecuencia continúan abusando de ingenuidad de los usuarios finales.
Recordemos que México es uno de los países con más índices de cibercrimen siendo víctima tanto de ciberdelicuentes nacionales e internacionales.
Investigacion: InRootWeTrust
Redacción: @srita_karen
Nota: El contenido de este artículo e imágenes, son responsabilidad de InRootWeTrust Cybersecurity Team.