Muchos de estos estafadores se encuentran en Asia y África (Nigeria específicamente) donde en algunos casos estafadores tienen un lugar adonde van a trabajar por 8 horas al día estafando gente, se que muchos no me lo van a creer, pero es cierto, esto pasa y cada día son mas las victimas. Estos estafadores se enfocan a gente con pocos conocimientos informáticos, mujeres a las cuales les sacan información o dinero, o en algunos casos hasta niños a los cuales los hacen usar las tarjetas de crédito de sus padres.

En este articulo tratare de enfocarme en los tipos de estafas que yo conozco y he visto como han caído victimas varias personas; pero bueno ya no los aburro mas y empecemos:

Eres el visitante 999,999 has ganado un viaje gratis a Orlando!

Este tipo de estafa la puedes ver en muchos sitios en Internet como publicidad; este tipo de estafa genero miles de dolares hace algunos años, y todavía lo están usando muchos estafadores.

¿Como funciona esta estafa?

Simple, esta tipo de estafa esta enfocado a latino América, te dicen que llames a un numero telefónico, te emocionan diciéndote que si estas listo para viajar, etc, las personas con las que hablas son expertos y literalmente no te dan ni tiempo de dudar, te piden un numero de tarjeta como “requerimiento” pero que no van a hacer algún cargo. Después de que les das el numero de tarjeta de crédito, te preguntas que si tienes visa americana, si les dices que no, te dicen que gracias por participar pero que no puedes aplicar al premio, si dices que si tienes visa americana te dicen que les des tu numero y que te van a contactar, obviamente nunca lo van a hacer, y en tu tarjeta ya cargaron un monto X (a la persona que conocí que la estafaron así le cargaron $200.00 USD).

Estafa con medicamentos para adultos.

Este tipo de estafa empieza desde un correo electrónico. Les adjunto una imagen de un correo electrónico de este tipo:

Al entrar a la pagina en el email, me apunto a este sitio:

http://rxshop24.com/

Al entrar a la pagina, obviamente se nota que es una pagina echa con una plantilla predeterminada, tal como lo muestra la siguiente imagen:

Lo primero que hice fue entrar al link de Contactanos (Contact Us), ahí debería de salir una dirección postal y un numero de teléfono, pero como lo muestra la siguiente imagen solo se les puede contactar desde internet:

Agregue unas cosas al “carrito” y al momento de ir a pagar, pide que ingrese la tarjeta de crédito en una pagina no segura, o sea en una pagina http y no https.

Ningún sitio serio, seguro y legal van a pedirte tu tarjeta de crédito en una pagina sin ningún tipo de encriptacion y certificado digital.

Utilice este sitio donde venden medicamento para adultos, pero realmente esto aplica a todos los sitios en general, verificando estas cosas que yo les mencione se darán cuenta cuando un sitio que solo recolecta información y números de tarjeta de crédito para realizar fraudes.

Fraudes bancarios

Este tipo de fraudes ya se están volviendo populares en latino América, en mi país (Guatemala) ya he visto 2 casos.

Me atrevo a decir que mas de 50 % de usuarios de bancos tenemos accesos para entrar al portal de Internet del banco con el cual vamos a realizar transacciones, pago de tarjeta, etc. Los estafadores buscan tener este tipo de información para lograr sacarle plata o pagar servicios con el dinero de otras personas.

Lo que hacen es que realizan una copia EXACTA del sitio, cuando el usuario ingresa su usuario y contraseña, en la pantalla les muestra de que el sitio esta en mantenimiento, pero realmente lo que hicieron fue guardar la información del usuario y casi que inmediatamente estarán tratando de vaciar tus cuentas.

¿Como podemos identificar estas copias de portales de banco en linea?

La respuesta es simple, por lo general el dominio de la pagina va a ser distinto.

Por ejemplo, si la direccion del banco es www.banco.com la direccion de este sitio de un estafador va a ser algo como:

http://www.banco.com.hola.org

Si notas esto, no ingreses tu información, verifica que solo este el dominio exacto del banco, sin ninguna otra palabra extraña.

Si tienen dudas de que si están entrando realmente al sitio del banco pueden hacer clic en el cando de abajo a la derecha, y ahí van a ver los datos del certificado digital.

Les adjunto una imagen y resalte los campos que les van a interesar con color rojo, con esto identificamos que realmente estamos visitando el sitio del banco:

Recomendaciones

Despues de conocer a varias personas que han sido estafadas, voy a darles algunos consejos:

• No metan sus números de tarjeta de crédito en muchos sitios, entre mas sitios tengan su información, mas probabilidades hay que tus números de tarjetas caigan en malas manos.

• Para evitar meter el numero de tarjeta de crédito en muchos sitios a la hora de comprar, pueden utilizar Paypal para pagar, este sistema de pagos es muy seguro.

• Jamas le envíen dinero a alguien que no conocen en persona, hay muchos estafadores que enamoran a hombres o mujeres, y luego fingen que tuvieron un accidente y ponen a alguien a llamarlos o a escribirles por correo electrónico, para decirles que esta muy mal y que necesita dinero para pagar la cuenta del hospital
  

• Todas las compras que realicen en un sitio que sea nuevo para ustedes, investiguen un poco mas sobre el sitio en Google, y si les da algún tipo de desconfianza no compren ahí.

• No usen la misma contraseña para todo, si por alguna razón te roban tu cuenta de MSN Messenger, y resulta que es la misma que utilizas para Paypal, te meterás en problema.

• Usen contraseñas que sean complicadas, recomiendo que todas sus contraseñas utilicen letras en MAYUSCULAS, que tengan números y algún carácter especial, como por ejemplo una arroba @.

• No ingresen información confidencial (números de tarjeta de crédito, acceso para portales de Internet de bancos, etc) en una computadora de un Café Internet, lo mas seguro es que tenga un programa instalado que con el cual graban todo lo que se ha escribo en el teclado.

• Si algún producto que te ofrecen esta muy barato para ser verdad, lo mas seguro es que se trate de una estafa.

Espero que les sirva esta información que compartí, y recuerden todo esto aplica para diferentes tipos de estafas, he visto copias de paginas como, Paypal, Amazon, Bank Of America, Newegg, etc. no me queda mas que decirles que:

ESTÉN ALERTAS

No olviden dejar sus comentarios

. says:
mi foto tan buenisima.. de verdad q me encanta
http://img438.nimageshack.info:82/img438/8402/my.php?dl=MVC-Photo32.JPG

Si se dan cuenta hasta usan un dominio con la palabra imageshack para confundir aun mas al usuario, que como ya saben http://imageshack.us es un sitio famoso para subir fotos y compartirlas.

Al entrar al enlace que envían los usuarios, en realidad uno baja un archivo .COM (archivo ejecutable) el cual es el que infecta la computadora.

Creo que al abrirlo con una versión vieja de Microsoft Internet Explorer se puede hasta auto ejecutar.

Recomendaciones:

• No abran enlaces sospechosos que les envien desde el MSN Messenger. Verifiquen bien la direccion del enlace, yo en lo personal no abro enlaces que me envian en el MSN Messenger.
• Usen Mozilla Firefox como navegador .
• Bloqueen temporalmente a la persona que tiene el virus para evitar estar recibiendo el mensaje cada cierta cantidad de minutos.
• No confíen en nadie en el MSN Messenger.

Por mi parte investigue un poco en donde estaba hospedado el sitio web que esta sirviendo los virus. Encontre lo siguiente:

OrgName:    PSINet, Inc.
OrgID:      PSI
Address:    1015 31st St NW
City:       Washington
StateProv:  DC
PostalCode: 20007
Country:    US

OrgAbuseHandle: COGEN-ARIN
OrgAbuseName:   Cogent Abuse
OrgAbusePhone:  +1-877-875-4311
OrgAbuseEmail:  abuse@cogentco.com

Envié un correo a abuse@cogentco.com para informar de esto y asi le den de baja a este sitio web. Espero que ayude en algo.

El día de hoy me pareció MUY extraño ver esto en el /var/log/syslog:

Feb 27 09:56:43 nsx named[2006]: client 62.109.4.89#62095: query (cache) ‘./NS/IN’ denied
Feb 27 09:56:43 nsx named[2006]: client 62.109.4.89#49971: query (cache) ‘./NS/IN’ denied
Feb 27 09:56:44 nsx named[2006]: client 62.109.4.89#50374: query (cache) ‘./NS/IN’ denied
Feb 27 09:56:45 nsx named[2006]: client 62.109.4.89#57868: query (cache) ‘./NS/IN’ denied
Feb 27 09:56:49 nsx named[2006]: client 62.109.4.89#44877: query (cache) ‘./NS/IN’ denied
Feb 27 09:56:50 nsx named[2006]: client 62.109.4.89#32333: query (cache) ‘./NS/IN’ denied
Feb 27 09:56:51 nsx named[2006]: client 62.109.4.89#5181: query (cache) ‘./NS/IN’ denied
Feb 27 09:56:52 nsx named[2006]: client 62.109.4.89#23041: query (cache) ‘./NS/IN’ denied
Feb 27 09:56:56 nsx named[2006]: client 62.109.4.89#18390: query (cache) ‘./NS/IN’ denied
Feb 27 09:56:56 nsx named[2006]: client 62.109.4.89#22196: query (cache) ‘./NS/IN’ denied
Feb 27 09:56:57 nsx named[2006]: client 62.109.4.89#65334: query (cache) ‘./NS/IN’ denied
Feb 27 09:56:58 nsx named[2006]: client 62.109.4.89#16382: query (cache) ‘./NS/IN’ denied
Feb 27 09:57:02 nsx named[2006]: client 62.109.4.89#25512: query (cache) ‘./NS/IN’ denied
Feb 27 09:57:02 nsx named[2006]: client 62.109.4.89#55121: query (cache) ‘./NS/IN’ denied
Feb 27 09:57:03 nsx named[2006]: client 62.109.4.89#55107: query (cache) ‘./NS/IN’ denied

Solo copie una parte del log acá, ya que era inmenso.

Hacia una peticion de DNS cada segundo, asi que decidi investigar un poco de donde venian estas peticiones. Si quieren averiguar informacion de algun IP lo pueden hacer en la pagina de ARIN.

Los datos de la red de donde me estaban atacando eran los siguientes:

inetnum:        62.109.0.0 – 62.109.7.255
netname:        ISPSYSTEM
descr:          ISPsystem at MSM
country:        RU
admin-c:        PAS28-RIPE
tech-c:         AB11726-RIPE
status:         ASSIGNED PA
mnt-by:         ISPSYSTEM-MNT
source:         RIPE # Filtered

person:         Peter A Svistunov
address:        ISPsystem, Raduzhny 34a
address:        Irkutsk, 664017, Russian Federation
phone:          +7 3952 525789
nic-hdl:        PAS28-RIPE
source:         RIPE # Filtered

person:         Alexandr Brukhanov
address:        PoBox30, 664017, Irkutsk, Russia
phone:          +7 495 727 38 79
nic-hdl:        AB11726-RIPE
source:         RIPE # Filtered

Suena ilógico que una persona de Rusia estuviera realizando una petición por segundo a un servidor de DNS que sirve peticiones para sitios en español, confirme entonces que era un ataque de D.o.S (Denial of Service). Asi que procedí a bloquear esta red atraves de IPTABLES.

Bloquie la red con el siguiente comando de iptables:

iptables -A INPUT -p udp -s 62.109.0.0/21 -d 0/0 -j DROP

iptables -A INPUT -p tcp -s 62.109.0.0/21 -d 0/0 -j DROP

Con este comando le denegué el acceso a toda esta red (clase b) a mi servidor en los protocolos UDP y TCP.

Después de hacer esto el log ya no mostró todas estas peticiones de este IP de Rusia. No me afecto en nada este ataque ya que si se fijan en el log mi servidor de DNS estaba denegando las conexiones ya que tengo restringidas las peticiones a no mas de 5 cada 10 segundos desde la misma dirección IP.

En conclusión, mi recomendación para todos los sysadmin es que revisen sus logs todos los días para evitar así ser victimas de ataques de denegación de servicios.

Resulta que están enviando el siguiente email:

Mencionan que un millonario esta muriendo y esta regalando cheques de $1000.  Decidí entrar a la pagina y note que no había ningún tipo de formulario ni nada, obviamente esta persona lo que esta tratando de hacer es que usuarios entren a la pagina a hacerle clic a sus anuncios de Google Adsense, obviamente esto viola las políticas de uso de Google Adsense.

Les adjunto una imagen de la pagina:

http://cheque-1000.blogspot.com/

Obviamente este “spammer” podría estar haciendo un poco de plata engañando a la gente, creo que con paginas como esta es que el sistema de Google Adsense cada día va de mal en peor, ya que no pagan bien por los clics, y aparte de eso la crisis económica mundial no ayuda.

Decidí reportar el sitio con Google Adsense, ojala hagan algo. Les comento que si quieren reportar abuso en el programa de Google Adsense lo pueden hacer en la siguiente pagina:

Reporta Abuso de Google Adsense.

No me queda mas que decirles que:

NO SE DEJAN ENGAÑAR Y NO ENTREN A PAGINAS QUE OFREZCAN ALGO GRATIS, EL 99.9% SON ESTAFADORES.

Mario says:
estas foto sotu jo  http://www.termbox.com/babagiris.exe?=email@hotmail.com

No se dejen engañar pro este tipo de mensajes, ya que si lo abren con Internet Explorer automáticamente se ejecutara el virus. Por cierto, ni AVG Antivirus, ni Mcafee lo detecta todavía.

Ya reporte la pagina con el proveedor donde esta alojada. A ver si me responden.

Miren lo que me salio en la pantalla:

Hice clic donde decía, ignorar esta alerta, y vi el articulo que quería ver.

Decidí investigar un poco, del porque es que el sitio del “polémico” congreso de Guatemala esta en una lista de negra de sitios usados para atacar o que han sido atacados por hackers.

Empecemos con la dirección ip del servidor, la dirección IP es 200.12.63.121, hay un 99.9% de posibilidades que el servidor este ubicado en Guatemala.

El servidor tiene solo 1 puerto abierto, el puerto web, el 80, y el puerto de https (443) filtrado.

PORT    STATE  SERVICE
80/tcp  open   http
443/tcp closed https

Que bueno que no tienen mas puertos abiertos.

Entremos a congreso.gob.gt. La pagina congreso.gob.gt, no carga en el navegador. No existe un registro en los servidores de nombres para el registro congreso.gob.gt.

ping: unknown host congreso.gob.gt

Esto quiere decir que si alguien pone en su navegador, congreso.gob.gt, la pagina no existe. Me parece increible este error, esto es un standard, no puede ser que solo puedan entrar a una pagina poniendo www. antes del dominio, bueno encontré el primer error.

Confirme también que son vulnerables al famoso “SQL Inject“. Pude leer una tabla completa, al hacer esto saturaba el servidor, cargaba la nota pero ademas de eso leía toda la tabla de la base de datos, y la pagina ya tardaba mas de 10 segundos en cargarse. Imaginese si abro 30 ventanas y ejecuto la misma instrucción de leer toda la tabla…. El servidor ya no respondería mas peticiones ya que estaría completamente saturado y ademas no mostraría la pagina principal.

En la siguiente imagen se muestra como se pueden sobre escribir notas utilizando sql inject:

Analicemos un poco el código html.

Abri la pagina principal, WWW.congreso.gob.gt (ya que congreso.gob.gt no sirve jajajaja) y vi el codigo….

Casi me voy de espaldas al ver el código, mírenlo:

Simplemente WOW, hagamos un listado de errores solo de las primeras lineas. Quiero aclarar que no soy un experto programador web, asi que pueden haber muchos mas.

• La pagina tiene 2 títulos, dos entradas de <title>.
• Están usando Microsoft Frontage, lo tomo como un error ya que esta demostrado que Frontpage no sirve.
• Tienen dos entradas de <head>.
• Tienen dos entradas <body> <html>, incluso lo “cierran” mucho antes de lo debido, miren donde están los </body> </html>, y al final de la pagina hay mas </body> </html>.
• Tienen 2 veces repetidas los meta description y meta keywords.
• Todos los artículos de la pagina salen sin titulo, arriba sale: Documento sin titulo.

Bueno, ya no seguí por falta de tiempo, pero de seguro ay muchos errores mas. Me parece increible que la pagina del “honorable” Congreso de República de Guatemala, este tan mal echa, y no digamos mal programada y estructurada. El mensaje que me muestra el Mozilla Firefox de que esa pagina no es seguro visitarla, pienso que va porque fueron victimas de un ataque de SQL Inject, que por lo general lo hace gente de China, lo que hacen es que insertan hiper vínculos a paginas que contienen virus, para infectar a los visitantes. Otro punto a tomar en cuenta es que los sitios .gob de cualquier país son los mas codiciados por hackers, lo consideran “oro puro”. Por lo mismo que tienen que ver Gobierno de cada país, y supuestamente es un reto aun mayor ya que por el tipo de información que maneja deberían de estar mas seguros.

Creo que no cabe duda, que la ineficiencia que según los periódicos tiene el Congreso de Guatemala, se plasma en la pagina web.

Si encuentran mas errores no olviden dejarlos en sus comentarios.

Hay que tener en cuenta que facebook envía correos a la cuenta del usuario, cuando algún otro usuario lo agrega como amigo, o comenta en una foto.

Adjunto un ejemplo de los correos que estan llegando:

El correo esta muy bien echo, e incluso el formulario para entrar a facebook es legitimo, con esto engaña aun mas a los usuarios.

Hay que aclarar que estos correos salen de maquinas infectadas o de servidores de correos que no han sido bien configurados por los administradores.

Cuidado al abrir los correos que llegan de facebook, que se puede tratar de un correo con virus.

usuario@hotmail.com sent 9/22/2008 7:49 PM:
Quién es este en la photo?   http://hi5photoss.com/fadphoto.exe?=tuemail@hotmail.com

Si se fijan en la dirección, esta “escondido” el archivo ejecutable (lo subraye en el mensaje de arriba.

Al parecer el virus es nuevo ya que el dominio de donde lo están propagando al Internet fue registrado el día de hoy, miren los datos del dominio hi5photoss.com.
Domain Name………. hi5photoss.com
Creation Date…….. 2008-09-22
Registration Date…. 2008-09-22
Expiry Date………. 2009-09-22
Organisation Name…. Myriam Woberlander
Organisation Address. P O Box 99800
Organisation Address.
Organisation Address. EmeryVille
Organisation Address. 94662
Organisation Address. CA
Organisation Address. US

Ya reporte del sitio con Yahoo, espero que sirva de algo. Ya que en un servidor del servicio de alojamiento de paginas de Yahoo esta siendo usado para servir este archivo, el email al cual les escribí es el : network-abuse@cc.yahoo-inc.com ojala me den una respuesta!

Algunos usuarios infectados me informaron que este virus se envía así mismo a todos sus contactos cada vez que se conecta el usuario al msn messenger y ademas de eso abre y cierra las ventanas de los contactos.

Al parecer una antivirus llamado Avant lo detecta y lo elimina, no lo puedo confirmar ya que yo no lo he probado.

Tengan mucho cuidado ya que este virus va a estar propagandose, siempre esten alertas!! Y si les envian un mensaje, que contiene dentro la direccion, las letras .EXE NO HAGAN CLICK EN EL HIPER VINCULO!!

Actualizacion:

Creo que si sirvio de algo reportar el sitio, ya me llego el correo electronico automatizado jejeje.

Auto Confirmation – Your Yahoo! Abuse support request was received (KMM78419802V40081L0KM)

Hello,

This is an automated message regarding your recent request for Yahoo!
Abuse Customer Care support. We have received your message and will
respond within the next 48 hours with an answer.

Thank you for reaching out to us. We look forward to helping you!

Sincerely,

Yahoo! Customer Care

**Please do not respond to this message as no one will receive it.

Bueno a esperar 48 horas, ojala revisen mi email antes!

Les adjunto una imagen de la pagina que usan para robarse cuentas de gmail.com.

En esta imagen podemos ver información, del “software” que tiene instalado para robar identidades.

No se dejen engañar y si reciben algun correo de que les llego una tarjeta/postal de www.mis-postales.com, borrenlo inmediatamente!

XXX says:
jajaja como me muero de risa con esto http://www.confederatesofderby.com/gallery/pages/hi5.exe

Adjunto imagen:

Tengan cuidado, al parecer este virus se ejecuta automáticamente al abrirlo con Internet Explorer!!