Skip to main content


Muy buenas. Como me aburro y os quiero dar el coñazo, hoy os voy a comentar como se hace el análisis de un posible smishing (un tipo de delito o actividad criminal a base de técnicas de ingeniería social con mensajes de texto dirigidos a los usuarios de telefonía móvil). He tomado el ejemplo de @durru que publico hace un rato. De todas formas adjuntaré la imagen para que sepáis desde que parto.

Part 1

#ciberseguridad #cybersecurity #smishing

Mr. Steve reshared this.

Lo primero que hago es recurrir a la vieja confiable, Virus Total. Esta es una página que analiza en varios antivirus la muestra que tú le pases, ya sea un link, un archivo, etc. Así que voy a analizar la URL del mensaje de texto. Lo que podemos apreciar es que 3 vendedores (vamos a llamarlos antivirus para no liar al personal) lo marcan como maligno. Lo más seguro es que este primer link que llega por SMS sea un link intermedio que acabe llevando al link final.

Part 2
Como yo no me quedo tranquilo, voy a buscar esa misma URL en otra página web, en este caso en urlscan.io. En esta página ya podemos apreciar cual es el link final y podemos observar que está categorizado como "Potentially Malicious" y vemos una captura de la página final. Como podemos ver se trata de una página que intenta emular al Banco Santander con el objetivo de conseguir tus credenciales de acceso y robarte la pasta.

Part 3
Ahora que ya conocemos el link final de la estafa, lo vuelvo a pasar por Virus Total para ver que me devuelve. En este caso vemos que 9 vendedores (antivirus para no confundir a la gente), lo detectan como phishing. En este punto ya podríamos para, pero yo decido ir un paso más allá y abro la URL en una máquina virtual para no poner en riesgo mi equipo personal.

Part 4
Lo que descubro es que tenemos esta página la cual se parece mucho a la página propia del banco, os dejo captura de la verdadera y de la falsa. Aquí la única diferencia apreciable es el link. En uno el dominio es particulares.bancosantander.es (el bueno), y en otro se aprecia que no tiene tanto sentido (no lo escribo por si me banean por estafa).

Part 5
Si en la página falsa introduzco unos datos falsos, me aparece la siguiente página donde me pide el número de la tarjeta, la fecha de caducidad, el código de seguridad y el PIN, ¡Qué casualidad! Menos mal que solo bloquearon mi cuenta. Nuevamente, cuando introduzco unos datos falsos, lo siguiente que me pide es un número de teléfono. Mmmmm "No lo sé Rick parece Falso".

Part 6
Ya lo siguiente es que me pide la firma electrónica de mi cuenta, un método que usan los clientes del Santander para firmar sus transacciones como transferencias de dinero, activar tarjetas y etc. Ya para acabar, me pide que introduzca un número de verificación que me ha llegado por SMS. Desconozco si de verdad llega un número o no, porque no introduje ningún número. Después de meter un montón de números de verificación aleatorios, saltó la pantalla de que la tarjeta ha sido activada

Part 7
Lo siguiente que suele hacer estos phishings es redirigir a la página oficial del banco como si no hubiera pasado nada. Justamente en este caso el Banco Santander ya sabe de la existencia de este phishing y sale una alerta de que esta sí que es la página oficial, pero tú ya has introducido los datos de acceso a tu cuenta bancaria. En estos casos lo mejor es llamar de inmediato al banco para que conozcan tu situación y empiecen los diferentes procesos que tienen para estos casos.

Part 8
Por último, un par de recomendaciones:

1. No abras ningún SMS/correo que diga que tu cuenta bancaria o tarjeta han sido bloqueadas/cerradas. Usa siempre la app oficial de tu banco o llámalos por teléfono.

2. Fíjate siempre en las URLs de las páginas. Verifica que son las oficiales de tu banco y que no tienen nombres "extraños".

3. Desconfía siempre cuando te piden datos tan secretos como el PIN de tu tarjeta bancaria. El banco NUNCA TE LO VA A PEDIR

4. Por último, "sentidiño"

Part 9/9
muchas gracias por la investigación.

Ayer mismo me llegó un sms al móvil del curro con un movimiento de 2.995 euros de la cuenta del bbva, y un link bastante bien hecho. Lo malo es que la empresa no tiene cuenta en bbva :blobcat:

Llamé al jefe por si acaso, pero nada de darle al link.
lo primero, no se deben; para eso estamos.

Lo segundo, verifica siempre todo. Mejor ser un pesado que que echen por haber sido victima de un ataque.
supe que era estafa según entró, pero como era del curro no me fie. Llamada al jefe y delego la responsabilidad.
lo mejor que podías haber hecho
Espero que os haya gustado este hilo de análisis de un phishing común y hayáis aprendido algo de esto. También os invito a que lo compartáis para que la gente sea consciente de las posibles estafas que hay por ahí sueltas y no sean víctimas de ellas.

Gracias por el apoyo guapos 😍

#retoot #phishing #sms #banking #pasalo #smishing #cybersecurity #ciberseguridad #malware #threat #virus #hack #hacking #hackers #hacker #hacktivism #linux #share
AJAJJAJAJAJA mítico. Paso en mi uni también
avisaste al chat de clase que a alguien le han hackeado?
no es difícil, tu te puedes bajar el código html de cualquera págian web.

Click derecho --> ver código fuente de la página. Y ya lo tienes.
de la eso o de la carrera?
Si, la de correos era otra muy mítica
eso suele ser porque Santander tiene un equipo de seguridad que al mínimo reporte de intento de estafa, ya tiran el phishing o ponen un aviso hasta que tiren la página falsa.

A por cierto, gracias por tus palabras.
jejejeje pues no sería mala idea empezar a dar esto en las escuelas. Es penoso que se tenga que dar esto, pero es algo que a día de hoy a todos nos puede pasar.
si, tal cual. Porque estás son útiles en la vida. En el día a día estas cosas te pueden servir.
perfecto, cuéntanos qué descubres. Eso sí, esos links maliciosos duran como mucho 24h porque los bancos tiran los phishings por razones obvias.
de todas formas prueba en las páginas de comprobar las urls a ver qué pone sobre el link malicioso que te llegó.
Gracias por este hilo.
De veras, muchas gracias.
nada, no sé deben. Para eso estamos

Este sitio web utiliza cookies. Si continúa navegando por este sitio web, usted acepta el uso de las cookies.