Siempre se leen muchas noticias sobre fraude online, phishing y demás estafas, pero pocas veces se puede tener a mano algo que 'se pueda tocar' en este caso, el site del que voy a hablar permanece online y por lo tanto puede servir de pedagógico ejemplo sobre como funcionan este tipo de estafas.
Para empezar, una pequeña introducción: Mas Móvil es una de esas nuevas compañías de telefonía que intentan abrirse paso en el apasionante mundo de las operadoras móviles ofreciendo planes de precio a la baja que pugnan por minar la hegemonía de las compañías 'de toda la vida'.
El caso es que por motivos que no vienen al caso, estuve empleando una SIM de esa compañía en modalidad pre-pago y al intentar recargarla mis bancos habituales no daban soporte a esa compañía, así que busque en google 'recarga mas móvil' y el primer enlace patrocinado vía add sense de Google me llevó a la pagina www.recargamasmovil.net
Si se visita la pagina en cuestión, podemos ver que han copiado los logos corporativos de Mas Móvil y ofrecen un servicio de recarga.
Si seguimos un poco mas adelante vemos que, supuestamente, nos llevan a una especie de portal 4B (ojo a la vulgar imitación del CGI de 4B teargral.exe) donde se nos piden una serie de datos típicos (nombre, numero de tarjeta ...) y otros mas extraños como 'clave de internet' WTF ?!?!? y encima, todo esto bajo HTTP que no HTTPS
Pero si seguimos un poco mas y miramos el código fuente de la pagina en cuestión, nos encontramos que los datos introducidos en el formulario, llaman a un CGI en 'emailmeform'
¿Que es 'emailmeform'? es un site donde puedes crearte tu propio formulario web e incrustarlo en otra pagina web, cuando alguien lo rellene te envían un bonito correo electrónico con los datos.
Según se puede ver en el Whois del dominio:
Domain Name: RECARGAMASMOVIL.NET
Registrar: 1 & 1 INTERNET AG
Whois Server: whois.schlund.info
Referral URL: http://REGISTRAR.SCHLUND.INFO
Name Server: NS63.1AND1.ES
Name Server: NS64.1AND1.ES
Status: ok
Updated Date: 21-feb-2009
Creation Date: 21-feb-2009
Expiration Date: 21-feb-2010
El fraude debe estar funcionando desde febrero del 2009 y si le preguntamos a nuestro bot por los datos de la IP donde está el servidor:
sbd.bot: Información de 87.106.204.191
Whois <--->
% Note This output has been filtered.
abuse-mailbox abuse@oneandone.net
address 1&1 Internet AG
admin-c JR2342-RIPE
country ES
descr SCHLUND-PA-5
inetnum 87.106.204.0 - 87.106.205.255
mnt-by AS8560-MNT
netname SCHLUND-SHARED
nic-hdl IPOP-RIPE
origin AS8560
remarks INFRA-AW
remarks: in case of abuse or spam, please mailto abuse@1und1.de
role IP Operations
route 87.106.0.0/16
source RIPE # Filtered
status ASSIGNED PA
tech-c JR2342-RIPE
Geo-INFO <--->
Country: Spain
Region:
City:
Da la impresión que el origen de todo esto es Alemán aunque la IP, aparentemente, esté en España.
Cuanto mas circule esta información antes incluirán ese dominio en black lists
Gracias Google, tendré presente a futuro lo fiables que son tus anuncios
Para empezar, una pequeña introducción: Mas Móvil es una de esas nuevas compañías de telefonía que intentan abrirse paso en el apasionante mundo de las operadoras móviles ofreciendo planes de precio a la baja que pugnan por minar la hegemonía de las compañías 'de toda la vida'.
El caso es que por motivos que no vienen al caso, estuve empleando una SIM de esa compañía en modalidad pre-pago y al intentar recargarla mis bancos habituales no daban soporte a esa compañía, así que busque en google 'recarga mas móvil' y el primer enlace patrocinado vía add sense de Google me llevó a la pagina www.recargamasmovil.net
Si se visita la pagina en cuestión, podemos ver que han copiado los logos corporativos de Mas Móvil y ofrecen un servicio de recarga.
Si seguimos un poco mas adelante vemos que, supuestamente, nos llevan a una especie de portal 4B (ojo a la vulgar imitación del CGI de 4B teargral.exe) donde se nos piden una serie de datos típicos (nombre, numero de tarjeta ...) y otros mas extraños como 'clave de internet' WTF ?!?!? y encima, todo esto bajo HTTP que no HTTPS
Pero si seguimos un poco mas y miramos el código fuente de la pagina en cuestión, nos encontramos que los datos introducidos en el formulario, llaman a un CGI en 'emailmeform'
<form method="post" action="http://www.emailmeform.com/fid.php?formid=240354" enctype="multipart/form-data" accept-charset="UTF-8">
¿Que es 'emailmeform'? es un site donde puedes crearte tu propio formulario web e incrustarlo en otra pagina web, cuando alguien lo rellene te envían un bonito correo electrónico con los datos.
Según se puede ver en el Whois del dominio:
Domain Name: RECARGAMASMOVIL.NET
Registrar: 1 & 1 INTERNET AG
Whois Server: whois.schlund.info
Referral URL: http://REGISTRAR.SCHLUND.INFO
Name Server: NS63.1AND1.ES
Name Server: NS64.1AND1.ES
Status: ok
Updated Date: 21-feb-2009
Creation Date: 21-feb-2009
Expiration Date: 21-feb-2010
El fraude debe estar funcionando desde febrero del 2009 y si le preguntamos a nuestro bot por los datos de la IP donde está el servidor:
sbd.bot: Información de 87.106.204.191
Whois <--->
% Note This output has been filtered.
abuse-mailbox abuse@oneandone
address 1&1 Internet AG
admin-c JR2342-RIPE
country ES
descr SCHLUND-PA-5
inetnum 87.106.204.0 - 87.106.205.255
mnt-by AS8560-MNT
netname SCHLUND-SHARED
nic-hdl IPOP-RIPE
origin AS8560
remarks INFRA-AW
remarks: in case of abuse or spam, please mailto abuse@1und1.de
role IP Operations
route 87.106.0.0/16
source RIPE # Filtered
status ASSIGNED PA
tech-c JR2342-RIPE
Geo-INFO <--->
Country: Spain
Region:
City:
Da la impresión que el origen de todo esto es Alemán aunque la IP, aparentemente, esté en España.
Cuanto mas circule esta información antes incluirán ese dominio en black lists
Gracias Google, tendré presente a futuro lo fiables que son tus anuncios
12 comments :
Tal vez sea más rápido que se lo mandes al verdadero más móvil. Cuando vean que están estafando a sus clientes, se moverán.
saludos
Mira, por picar en tu enlace el adsense que me ha salido:
http://www.recargarsaldomovil.com/?
Otro timo, en este si metes datos verás como al final pone algo de que accedes a descargas del Real Madrid: http://esw.buongiorno.com/es/web_realmadrid/web/terminos.bsp
"SERVICIO DE SUSCRIPCIÓN con el que podrás acceder al contenido exclusivo del Real Madrid, el Primero GRATIS y descargar miles de productos para tu móvil. Por sólo 0,30€+IVA/SMS recibido."
El concepto "Gratis", no lo tienen muy claro.
El origen del fraude podría ser español. Cuando desde dentro de nuestras fronteras contratamos un hosting con 1&1, obtenemos un servidor alojado en Alemania.
Enhorabuena por este excelente blog.
ya te da un bonito 404, por lo menos a mi.
Efectivamente, la web ya no está. Gracias a todos los que habéis colaborado
No pasa nada, gracias al historico de Google se ve parte de su intento:
http://209.85.129.132/search?q=cache:EObPeQ7FvjoJ:www.recargamasmovil.net/+recarga+mas+movil&cd=5&hl=es&ct=clnk&gl=es&client=firefox-a
yo recibido el saldo de 30 euros.
@javier ¿Si? y que contestaste en la pregunta 'Clave de internet' ? (por curiosidad)
http://www.recarga-masmovil.es/ otra veces
yo recibido el saldo de 30 euros.
El origen del fraude podría ser español. Cuando desde dentro de nuestras fronteras contratamos un hosting con 1&1, obtenemos un servidor alojado en Alemania.
Enhorabuena por este excelente blog.
Mira, por picar en tu enlace el adsense que me ha salido:
http://www.recargarsaldomovil.com/?
Otro timo, en este si metes datos verás como al final pone algo de que accedes a descargas del Real Madrid: http://esw.buongiorno.com/es/web_realmadrid/web/terminos.bsp
"SERVICIO DE SUSCRIPCIÓN con el que podrás acceder al contenido exclusivo del Real Madrid, el Primero GRATIS y descargar miles de productos para tu móvil. Por sólo 0,30€+IVA/SMS recibido."
El concepto "Gratis", no lo tienen muy claro.
Publicar un comentario