Sitio personal de Ariel M. Liguori De Gottig

Tuesday, December 30

Análisis de Phishing en Standard Bank (30/12/2008).-

Hoy por la mañana he recibido un curioso correo de Standard Bank SA:



Todo parece muy correcto, sin embargo, nadie se cree que Standard Bank necesite verificar nuestros datos. Al margen de eso, el link que aparece en el email es el correcto de Standard Bank aunque si se fijan en detalle esos links nos llevaran a otras URL's, no a las que tienen configuradas, dichas páginas son:

http://standardbank.com.ar.webempresas.idkey26914511442100136208.secupends8.cn/ar_pers/ (para personas)

http://standardbank.com.ar.webempresas.idkey2323415925205188159167.secupends8.cn/ar_corp/ (para empresas)

Hemos encontrado algo interesante, estos no parecen los sitios de Standard Bank, veamos si encontramos en ellos algo interesante (explorando un poquito el código fuente):

var dummy = false;
var procesando = false;

function SetCookie (name, value) {
expireDate = new Date;
expireDate.setDate(expireDate.getDate()+10);
document.cookie = name + '=' + value + ';expires=' + expireDate.toGMTString();
}

function GetCookie (name) {
var arg = name + "=";
var alen = arg.length;
var clen = document.cookie.length;
var i = 0;
while (i < clen) {
var j = i + alen;
if (document.cookie.substring(i, j) == arg)
return getCookieVal (j);
i = document.cookie.indexOf(" ", i) + 1;
if (i == 0) break;
}
return null;
}

function getCookieVal(offset) {
var endstr = document.cookie.indexOf (";", offset);
if (endstr == -1)
endstr = document.cookie.length;
return unescape(document.cookie.substring(offset, endstr));
}


function validateLogin (frmForm) {
var strInput;
var strError = '';
var blnSucess = false;
var strValidos = '1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';

with (frmForm) {
//Valido nombre de usuario
strInput = usuario.value;
if (strInput.length < 1) {
strError += 'Debe ingresar el nombre de usuario.\n';
} else if (strInput.length < 8 || strInput.length > 12) {
strError += 'El nombre de usuario debe tener ente 8 y 12 caracteres.\n';
}
else
{
strIngr = strInput.split("");
for(j=0; (j<strIngr.length); j++)
{
if (strValidos.indexOf(strIngr[j])==-1)
{
strError += 'Debe ingresar sólo números o letras';
break;
}
}
}
//Valido clave
strInput = password.value;
if (strInput.length < 1)
{
strError += 'Debe ingresar una clave de acceso.\n';
}
else if (strInput.length < 8 || strInput.length > 8)
{
strError += 'La clave de acceso debe tener 8 caracteres.\n';
}
else
{
strIngr = strInput.split("");
for(j=0; (j<strIngr.length); j++)
{
if (strValidos.indexOf(strIngr[j])==-1)
{
strError += 'Debe ingresar sólo números o letras';
break;
}
}
}
}

if (strError) {
alert (strError);
blnSucess = false;
} else {

blnSucess = true;

if ( dummy == false )
{
dummy = true;
}
else
{
alert ('Aguarde, su transaccion esta siendo procesada . . .');
blnSucess = false;
}
}
return blnSucess;
}

function validaNavegador()
{
var valida = false;
if(navigator.appName=="Netscape")
{
if(parseFloat(navigator.appVersion) >= 4.75)
{
// version correcta 4.75
valida = true;
}
//return;
}
else
{
var version = new String(navigator.appVersion);
var i = version.indexOf("MSIE ");
if(i >= 0)
{
var fVersion = parseFloat(version.substring(i + 5))
if(fVersion >= 5.5) // version correcta 5.5
valida = true;
//return;
}
}
if(!valida)
{

}
else
{
document.frmLogin.usuario.focus();
}
}

function load()
{
// document.frmLogin.usuario.focus();
validaNavegador();
}

function KBgo(check, link)
{
if (check.checked == true)
{
this.location.href="https://www.standardbank.com.ar:443/cgi-bin/preprd.dll/bkb/access.do?" + link + "&kb=s";
}
}
Bueno, esto habla por si solo, espera a que ingresemos nuestro user y pass, los obtiene y luego nos redirecciona a la pagina real de Standard Bank, todo típico en un ataque de Phishing, es el modus operandi que se encuentra en cualquier libro. Tengan cuidado y fijense bien adonde entran, las diferencias entre las páginas es nula.

Saludos,

0 comentarios: