Alerta – Phishing (robo de claves) en Banesco

En la oficina ocurrió algo curioso, que a la vez me puso en alerta para escribir al respecto, y que otros no caigan en la misma trampa:

Actualización del 15/04/2010: En los comentarios me hicieron saber que desafortunadamente, los pasos para remover el “virus” ya no son válidos. Evidentemente, no lo tengo acá para comprobarlo (ni planeo tenerlo…) pero para alguna persona que sí lo tenga, agradecería mucho los comentarios al respecto. Más aún si dicen cómo quitarlo. -d1m1

Uno de mis compañeros de trabajo recibió vía e-mail un Mensaje Multimedia (MMS) de Movistar (aparentemente).

(Haz clic en las imágenes para verlas en tamaño completo)

correo-main
correo-2

Al abrir el correo, el mismo te dice que para ver el mensaje, hagas clic en un vínculo. Cuando haces eso, inicia una descarga de un archivo ejecutable (.exe).

correo-3

Si ejecutas dicho archivo, aparentemente no ocurre nada.

Como no ocurrió nada, él siguió trabajando normalmente. Durante dicho trabajo, decidió entrar en Banesco (www.banesco.com) para revisar su cuenta, y una vez cargada la página de BanescOnline, se encontró con esto:

banesco1

Parece normal, ¿verdad? A simple vista no se nota extraño… ¿o sí? Nótese una segunda “ventana” (sería mejor decir “recuadro”), colocado justo encima de donde está el original, pero desplazado hacia un lado. Los que no usan este sistema muy seguido puede que caigan en la trampa, pero otros lo notarán de una vez.

Suponiendo que no se dieron cuenta, seguimos. El recuadro en cuestión sirve para ingresar el nombre de usuario y su contraseña en el sitio, emulando completamente al recuadro original. Una vez ingresados dichos datos…

banesco2

…el recuadro cambia, y te informa que, para continuar con el acceso al sistema, debes ingresar tu Clave de Operaciones Especiales.

banesco3
(Nótese que existe validación de datos; es decir, parece legítimo)

Si lo haces (el usuario frecuente de este sitio sabe que dicha clave se pide SOLAMENTE al estar dentro del sistema, no al entrar), te saldrá una ventana diciéndote que la clave es inválida (no importa que no lo sea) y que reingreses tu clave. Lo haces, y acto seguido te sale otro recuadro, pidiéndote que describas tu imagen personalizada (la que se usa para realizar ciertas operaciones en el sitio).

banesco4

banesco5
Si lo haces (y acá seguramente ya se estarán dando cuenta que algo anda mal), el sistema te devuelve a la página principal, y te deja entrar, pero el daño ya está hecho.

banesco6

Puede que te des cuenta que hay algo extraño en la página, pero para ese punto, ya el personaje tras este “virus” te puede haber sacado ya toda la plata de tu cuenta (o sacarla en partes, ya que después de ciertos montos Banesco te llama para confirmar la operación).

No sabemos si esto ocurre para otros bancos. Lo que sí notamos es que el virus se activa sólo al entrar por primera vez en el sitio (por ejemplo, cuando uno abre su cuenta en la mañana para revisar saldos). Si haces todo el proceso y te sales, al volver a entrar, la página carga normal.
Por otro lado, los métodos usuales de prevención contra “phishing” (robo de claves) dejan de funcionar una vez descargado el archivo ejecutable, ya que la página (salvo ese error de desplazamiento del recuadro principal) no muestra ninguna señal de ser fraudulenta. De hecho, si revisan el sitio que carga (en la barra de arriba del explorador) se darán cuenta que se trata del sitio legítimo (https://www.banesconline.com/mantis/Website/Login.aspx).

Entonces, cómo prevenir el robo de tu clave (y además, de tu dinero y demás información bancaria)?

Nunca (reitero: NUNCA) abras archivos (especialmente ejecutables: .vbs, .exe, .com, .bat, etc) si no confias en su procedencia. El mejor antivirus existente es el mismo usuario.
Y hablando de eso, aunque en este caso no sirvió de nada (ya que estaba activo y configurado) siempre ten un antivirus instalado en tu máquina (o usa Linux, así como yo).
Al tomar las capturas de pantalla usadas en este post (cortesía, claro está, de mi compañero de trabajo), se notó que dicho virus afecta únicamente Internet Explorer (no Firefox, y suponemos que  tampoco Opera, ni Google Chrome). Esta es una razón más para usar otro explorador que no sea IE.

¿Cómo quitarlo? Al momento de escribir este post, aún no lo sé, porque en la máquina que yo uso en la oficina tengo Linux, y no pude recrear el comportamiento del virus. Si averiguo algo, lo informo por acá.

Actualización del 10-02-2009: Al revisar mi correo encontré que me habían escrito directamente desde Banesco en relación a este post (nótese la celeridad de la respuesta, cosa que  me parece excelente por parte del banco). Si se fijaron en el comentario más abajo, Ernesto amablemente me hizo llegar el procedimiento para remover dicho “virus” (lo coloqué así a propósito; de hecho se trata de un troyano, que no es lo mismo, aunque actualmente todo se denomine virus), que igual reproduzco a continuación para quienes no han visto el comentario aún. Lo probaré en la máquina afectada en la oficina para ver qué tal.  Antes de proseguir, muchas gracias nuevamente a Ernesto por la colaboración.

Lo reproduzco tal como me llegó (sin embargo, estoy trabajando en algo que lo hace automáticamente. Pero mientras tanto, sigue leyendo. Mañana lo posteo cuando no me esté muriendo de sueño):

Pasos para eliminar el troyano:

1) Eliminar el Proceso del troyano que se está ejecutando
1.1) Presione las teclas Control + Shift + Escape. Se debe abrir el “Adminsitrador de Tareas de Windows (Taskmanager) ”
1.2) Seleccione la pestañana de “procesos”
1.3) Debe aparecer un proceso que se llama msnlive.exe,
1.4) Haga click en el nombre del proceso y presione la tecla suprimir. Cuando le aparezca la venta de confirmación le indica que SI

2) Eliminar del arranque el troyano:
2.1) En el menú de inicio busque la opción de “Ejecutar” y escriba “regedit”, Se debe abrir la ventana de “Editor de Registro”
2.2) En el panel izquierdo tiene que ir abriendo cada una de las carpetas que le menciono a continuación:
–  HKEY_LOCAL_MACHINE
–  HKEY_LOCAL_MACHINE\SOFTWARE\
–  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
–  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
–  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
–  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

2.3) Selecciona la carpeta de “Run” y en el panel izquierdo busca la entrada que dice msnlive.exe
2.4) Seleccionar la entrada y presionar la tecla suprimir y confirmar el mensaje de eliminación

3) Eliminar el ejecutable del troyano
3.1) Abrir “Mi PC”
3.2) Seleccionar el disco local “C:\”
3.3) Seleccionar la carpeta Windows ( Si muestra un mensaje que dice que esta deshabilitada la visualización de la carpeta, que si se desea habilitar, lo acepta)
3.4) Buscar el archivo msnlive.exe
3.5) Seleccionarlo con un click simple, ya que si se le da doble click se ejecuta y tenemos que volver al paso 1)
3.6) Eliminar el archivo con la siguiente combinación de teclas: Shift + Suprimir y aceptar el mensaje.

4) Reinicio y verificación de la maquina.
4.1) Reiniciar la maquina
4.2) Ejecutar los pasos 1.1, 1.2  y Verificar que ya el proceso NO existe
4.3) Intente abrir Banesco On Line para verificar que ya no se despliega la pantalla.

Anuncios

5 comentarios en “Alerta – Phishing (robo de claves) en Banesco

  1. Pasos para eliminar el troyano:

    1) Eliminar el Proceso del troyano que se está ejecutando
    1.1) Presione las teclas Control + Shift + Escape. Se debe abrir el “Adminsitrador de Tareas de Windows (Taskmanager) ”
    1.2) Seleccione la pestañana de “procesos”
    1.3) Debe aparecer un proceso que se llama msnlive.exe,
    1.4) Haga click en el nombre del proceso y presione la tecla suprimir. Cuando le aparezca la venta de confirmación le indica que SI

    2) Eliminar del arranque el troyano:
    2.1) En el menú de inicio busque la opción de “Ejecutar” y escriba “regedit”, Se debe abrir la ventana de “Editor de Registro”
    2.2) En el panel izquierdo tiene que ir abriendo cada una de las carpetas que le menciono a continuación:
    – HKEY_LOCAL_MACHINE
    – HKEY_LOCAL_MACHINE\SOFTWARE\
    – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    2.3) Selecciona la carpeta de “Run” y en el panel izquierdo busca la entrada que dice msnlive.exe
    2.4) Seleccionar la entrada y presionar la tecla suprimir y confirmar el mensaje de eliminación

    3) Eliminar el ejecutable del troyano
    3.1) Abrir “Mi PC”
    3.2) Seleccionar el disco local “C:\”
    3.3) Seleccionar la carpeta Windows ( Si muestra un mensaje que dice que esta deshabilitada la visualización de la carpeta, que si se desea habilitar, lo acepta)
    3.4) Buscar el archivo msnlive.exe
    3.5) Seleccionarlo con un click simple, ya que si se le da doble click se ejecuta y tenemos que volver al paso 1)
    3.6) Eliminar el archivo con la siguiente combinación de teclas: Shift + Suprimir y aceptar el mensaje.

    4) Reinicio y verificación de la maquina.
    4.1) Reiniciar la maquina
    4.2) Ejecutar los pasos 1.1, 1.2 y Verificar que ya el proceso NO existe
    4.3) Intente abrir Banesco On Line para verificar que ya no se despliega la pantalla.

    • Muchísimas gracias por la información. Editaré la entrada correspondiente para que aquellos que no leen los comentarios sepan cómo borrarlo. Me parece excelente la rapidez y claridad de la respuesta por su parte.

  2. Saludos!!! lamento decirles pero esa tecnica ya no sirve para eliminar ese virus, ya q lo han mejorado, y ya no sale con el nombre msn.live..

    tambien lamento no darles la solucion, estoy trabajando en ello!!!
    gracias!!…

  3. Pingback: Mi mente en números: 2010 « Un D1a en m1 Mente

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s