Phishing de Yahoo! que simula desactivación de la cuenta

El siguiente es un ejemplo de phishing bastante elaborado que busca robar contraseñas de Yahoo! Todo comienza con un correo falso que simula una desactivación de la cuenta para que la víctima haga clic en un enlace:

yahoo-correo-activar
Clic para ver más grande

Un usuario atento notaría que la URL apunta hacia un dominio .info, lo cual ya es una clara señal de que algo raro está pasando. Sin embargo este detalle podría pasar desapercibido fácilmente, al hacer clic se carga la siguiente página:

yahoo-phishing
Clic para ver más grande

El diseño es muy parecido al de Yahoo, cualquiera distraído o apurado podría ingresar su contraseña sin notar el engaño.

Hay un detalle interesante de este ataque, si uno ingresa directamente a la URL falsa, la página del phishing no cargará. Para que cargue es necesario pasarle algún parámetro luego del login_verify2, el atacante lo hace desde el correo electrónico camuflando en Base64 la dirección de la víctima, además de un mensaje para los curiosos (el humor nunca les falta):

mensaje-phishing-64

Como vemos, es un ataque sencillo pero bien elaborado que puede engañar a muchas personas. Para no caer en estos engaños siempre hay que verificar los enlaces recibidos y prestar mucha atención a las URLs cuando se solicita una contraseña.

Por último dejo una captura del encabezado que sirve, entre otras cosas, para ver las IPs de los correos.

Si se analiza se podrán encontrar cosas bastante interesantes e incluso descubrir el servicio de phishing utilizado por el atacante lamer, también se podría descubrir escarbando un poco en el dominio falso:

encabezado-phishing
Clic para ver más grande

5 comentarios en «Phishing de Yahoo! que simula desactivación de la cuenta»

  1. tengo el siguiente problema; duda o temor.
    En mi blog al ir al panel de administración o escritorio: desde donde se edita, ven plantillas y por ejemplo también veo las estadísticas, hay entre las fuentes desde donde viene el tráfico dos direcciones (entre muchas conocidas) : bllog.tk y glowlan.tk , viene mucho tráfico dedse ahi.
    Intenté desde uan máquina vieja entrar en al primera y me salto el antivirus , la bloqueó decia página atacante,virus, pishing..y todos los bichos que se conocen.
    Porqué se habrá instalado ahí, me aparece desde que puse publicidad de Impresiones web, no sé si es casualidad o que.

    Responder
    • Debe ser casualidad, los dominios .tk son gratuitos y suelen ser usados en páginas de spam. Seguramente desde estas páginas enlazaron la tuya, vaya a saber uno por qué. Yo intente entrar ahora y no me cargaban, una parece que había sido eliminada, de todas formas no te preocupes, uno no puede controlar las páginas que nos enlazan, así que no le va a pasar nada malo al blog.

      Responder
      • ok, gracias por la respuesta, según recuerdo son dominios de Tokalau , que lanzaron gratis hace un tiempo.
        Acoto algo más, fui a Avast, es el antivirus que uso y en Escudo Web en su reporte me figuran como web bloqueadas por tener muy alto riesgo. Dice algo como : Agent Java Atacante……..etc,etc.
        saludos

        Responder

Deja un comentario