29 septiembre 2009

El extraño caso de recargamasmovil.net

Siempre se leen muchas noticias sobre fraude online, phishing y demás estafas, pero pocas veces se puede tener a mano algo que 'se pueda tocar' en este caso, el site del que voy a hablar permanece online y por lo tanto puede servir de pedagógico ejemplo sobre como funcionan este tipo de estafas.

Para empezar, una pequeña introducción: Mas Móvil es una de esas nuevas compañías de telefonía que intentan abrirse paso en el apasionante mundo de las operadoras móviles ofreciendo planes de precio a la baja que pugnan por minar la hegemonía de las compañías 'de toda la vida'.

El caso es que por motivos que no vienen al caso, estuve empleando una SIM de esa compañía en modalidad pre-pago y al intentar recargarla mis bancos habituales no daban soporte a esa compañía, así que busque en google 'recarga mas móvil' y el primer enlace patrocinado vía add sense de Google me llevó a la pagina www.recargamasmovil.net

Si se visita la pagina en cuestión, podemos ver que han copiado los logos corporativos de Mas Móvil y ofrecen un servicio de recarga.


Si seguimos un poco mas adelante vemos que, supuestamente, nos llevan a una especie de portal 4B (ojo a la vulgar imitación del CGI de 4B teargral.exe) donde se nos piden una serie de datos típicos (nombre, numero de tarjeta ...) y otros mas extraños como 'clave de internet' WTF ?!?!? y encima, todo esto bajo HTTP que no HTTPS


Pero si seguimos un poco mas y miramos el código fuente de la pagina en cuestión, nos encontramos que los datos introducidos en el formulario, llaman a un CGI en 'emailmeform'


<form method="post" action="http://www.emailmeform.com/fid.php?formid=240354" enctype="multipart/form-data" accept-charset="UTF-8">


¿Que es 'emailmeform'? es un site donde puedes crearte tu propio formulario web e incrustarlo en otra pagina web, cuando alguien lo rellene te envían un bonito correo electrónico con los datos.

Según se puede ver en el Whois del dominio:

Domain Name: RECARGAMASMOVIL.NET
Registrar: 1 & 1 INTERNET AG
Whois Server: whois.schlund.info
Referral URL: http://REGISTRAR.SCHLUND.INFO
Name Server: NS63.1AND1.ES
Name Server: NS64.1AND1.ES
Status: ok
Updated Date: 21-feb-2009
Creation Date: 21-feb-2009
Expiration Date: 21-feb-2010

El fraude debe estar funcionando desde febrero del 2009 y si le preguntamos a nuestro bot por los datos de la IP donde está el servidor:

sbd.bot: Información de 87.106.204.191
Whois <--->

% Note This output has been filtered.
abuse-mailbox abuse@oneandone.net
address 1&1 Internet AG
admin-c JR2342-RIPE
country ES
descr SCHLUND-PA-5
inetnum 87.106.204.0 - 87.106.205.255
mnt-by AS8560-MNT
netname SCHLUND-SHARED
nic-hdl IPOP-RIPE
origin AS8560
remarks INFRA-AW
remarks: in case of abuse or spam, please mailto abuse@1und1.de
role IP Operations
route 87.106.0.0/16
source RIPE # Filtered
status ASSIGNED PA
tech-c JR2342-RIPE

Geo-INFO <--->

Country: Spain
Region:
City:

Da la impresión que el origen de todo esto es Alemán aunque la IP, aparentemente, esté en España.

Cuanto mas circule esta información antes incluirán ese dominio en black lists

Gracias Google, tendré presente a futuro lo fiables que son tus anuncios

12 comments :

admin dijo...

Tal vez sea más rápido que se lo mandes al verdadero más móvil. Cuando vean que están estafando a sus clientes, se moverán.

saludos

tayoken dijo...

Mira, por picar en tu enlace el adsense que me ha salido:

http://www.recargarsaldomovil.com/?

Otro timo, en este si metes datos verás como al final pone algo de que accedes a descargas del Real Madrid: http://esw.buongiorno.com/es/web_realmadrid/web/terminos.bsp


"SERVICIO DE SUSCRIPCIÓN con el que podrás acceder al contenido exclusivo del Real Madrid, el Primero GRATIS y descargar miles de productos para tu móvil. Por sólo 0,30€+IVA/SMS recibido."

El concepto "Gratis", no lo tienen muy claro.

Pedro J. Estébanez dijo...

El origen del fraude podría ser español. Cuando desde dentro de nuestras fronteras contratamos un hosting con 1&1, obtenemos un servidor alojado en Alemania.

Enhorabuena por este excelente blog.

Jandro dijo...

ya te da un bonito 404, por lo menos a mi.

Yago Jesus dijo...

Efectivamente, la web ya no está. Gracias a todos los que habéis colaborado

Anónimo dijo...

No pasa nada, gracias al historico de Google se ve parte de su intento:

http://209.85.129.132/search?q=cache:EObPeQ7FvjoJ:www.recargamasmovil.net/+recarga+mas+movil&cd=5&hl=es&ct=clnk&gl=es&client=firefox-a

javier dijo...

yo recibido el saldo de 30 euros.

Yago Jesus dijo...

@javier ¿Si? y que contestaste en la pregunta 'Clave de internet' ? (por curiosidad)

Anónimo dijo...

http://www.recarga-masmovil.es/ otra veces

javier dijo...

yo recibido el saldo de 30 euros.

Pedro J. Estébanez dijo...

El origen del fraude podría ser español. Cuando desde dentro de nuestras fronteras contratamos un hosting con 1&1, obtenemos un servidor alojado en Alemania.

Enhorabuena por este excelente blog.

tayoken dijo...

Mira, por picar en tu enlace el adsense que me ha salido:

http://www.recargarsaldomovil.com/?

Otro timo, en este si metes datos verás como al final pone algo de que accedes a descargas del Real Madrid: http://esw.buongiorno.com/es/web_realmadrid/web/terminos.bsp


"SERVICIO DE SUSCRIPCIÓN con el que podrás acceder al contenido exclusivo del Real Madrid, el Primero GRATIS y descargar miles de productos para tu móvil. Por sólo 0,30€+IVA/SMS recibido."

El concepto "Gratis", no lo tienen muy claro.