El extraño caso de recargamasmovil.net
Siempre se leen muchas noticias sobre fraude online, phishing y demás estafas, pero pocas veces se puede tener a mano algo que ‘se pueda tocar’ en este caso, el site del que voy a hablar permanece online y por lo tanto puede servir de pedagógico ejemplo sobre como funcionan este tipo de estafas.
Para empezar, una pequeña introducción: Mas Móvil es una de esas nuevas compañías de telefonía que intentan abrirse paso en el apasionante mundo de las operadoras móviles ofreciendo planes de precio a la baja que pugnan por minar la hegemonía de las compañías ‘de toda la vida’.
El caso es que por motivos que no vienen al caso, estuve empleando una SIM de esa compañía en modalidad pre-pago y al intentar recargarla mis bancos habituales no daban soporte a esa compañía, así que busque en google ‘recarga mas móvil’ y el primer enlace patrocinado vía add sense de Google me llevó a la pagina www.recargamasmovil.net
Si se visita la pagina en cuestión, podemos ver que han copiado los logos corporativos de Mas Móvil y ofrecen un servicio de recarga.
Si seguimos un poco mas adelante vemos que, supuestamente, nos llevan a una especie de portal 4B (ojo a la vulgar imitación del CGI de 4B teargral.exe) donde se nos piden una serie de datos típicos (nombre, numero de tarjeta …) y otros mas extraños como ‘clave de internet’ WTF ?!?!? y encima, todo esto bajo HTTP que no HTTPS
Pero si seguimos un poco mas y miramos el código fuente de la pagina en cuestión, nos encontramos que los datos introducidos en el formulario, llaman a un CGI en ’emailmeform’
<form method=”post” action=”http://www.emailmeform.com/fid.php?formid=240354” enctype=”multipart/form-data” accept-charset=”UTF-8″>
¿Que es ’emailmeform’? es un site donde puedes crearte tu propio formulario web e incrustarlo en otra pagina web, de forma que cuando alguien lo rellene se te envíen un bonito correo electrónico con los datos.
Según se puede ver en el Whois del dominio:
Domain Name: RECARGAMASMOVIL.NET
Registrar: 1 & 1 INTERNET AG
Whois Server: whois.schlund.info
Referral URL: http://REGISTRAR.SCHLUND.INFO
Name Server: NS63.1AND1.ES
Name Server: NS64.1AND1.ES
Status: ok
Updated Date: 21-feb-2009
Creation Date: 21-feb-2009
Expiration Date: 21-feb-2010
El fraude debe estar funcionando desde febrero del 2009 y si le preguntamos a nuestro bot por los datos de la IP donde está el servidor:
sbd.bot: Información de 87.106.204.191 : Corresponde a un ISP sito en el centro de Menorca 40.0N 4.0E
http://www.securitybydefault.com/2009/09/el-extrano-caso-de-recargamasmovilnet.html Fuente
Pues toda una historia que al parecer aun está funcionando actualmente- MUCHO CUIDADO AHI AFUERA !!!
saludos
ms, 29-9-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.