SISTEMAS
Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 6 Next »

Fecha Evento

 

Fecha Documento

 

Estado del Documento
  • BORRADOR
  • FINAL
Autor

HUGO A. DIAZ PARRA

InformadorRocio Rodriguez
Version241013.1
Tickethttps://sistemas.cabal.coop.py/view.php?id=5888
ResumenFraudes por phishing


DESCRIPCION 

Se reportaron casos sospechosos de robo de credenciales de acceso al DIMO con salida por compra con el QR de Bancard.


BITACORA 

El viernes 11-Octubre a las 22:00 aprox. me informaron casos de fraude, si bien en ese momento no teniamos claro la mecanica si quedaba claro que hubo robo de informacion del usuario y la salida se daba por compra en comercio con el QR de Bancard. Luego de revisar mas a fondo los casos se identifico que el robo de informacion fue por phishing utilizando como punto de entrada una pagina falsa en Facebook que ofrecia un bono de 1.200.000 Gs.

La comunicacion entre el ciberdelincuente y la victima se daba por facebook mesenger, donde se le indicaba a la victima el sitio al que deberia ingresar para acceder a su bono.



y el robo de informacion de daba en el sitio https://nuestrafilicida.com

Una vez robadas las credenciales de acceso de los usuarios, los ciberdelincuentes procedian a realizar compas con el QR de Bancard por debajo de los montos que requieren PIN transaccional. Cuando se detectaron estos casos se bajoron los limites de 150.000 gs X compra a 50.000 X compra y finalmente a 1.000 gs X compra.

Una vez identificada la pagina se procedio a ejecutar las acciones que estaban a nuestro alcance con el apoyo de nuestro soporte de ciberseguridad Legacy-roots:

  • Reportar la pagina de Facebook como fraudulenta.
  • Reportar el sitio web https://nuestrafilicida.com utilizado para el robo de informacion como fraudulenta (safebrowsing.google.com y www.abuseipdb.com).
  • Reportar al hosting, en este caso bananahosting, la utilizacion de su infraestructura para realizar actividades fraudulentas.
  • Identificar el pais de origen para ingreso a Dimo, que de acuerdo a lo revisado en nuestra infraestructura provenian de EEUU.

dentro del proceso de investigacion se identifico que el mismo sitio se utilizo para atacar otro entidad "Cooperativa Mburicao Ltd"


ya el dia sabado 12-Octubre aproximadamente a las 01:00 se confirmo que sitio se encontraba abajo.


Al momento de la elaboracion de este documento se identificaron 3 victimas...









SOLUCION APLICADA 




SOLUCION DE FONDO 





  • No labels