[Solar-general] (esto es phishing?) "Banco Rio Boletin Urgente"

Marcos Guglielmetti marcospcmusica en gmail.com
Mie Jun 6 21:04:05 CEST 2007 

Recibí un mail hmtl que parece verdadero, al entrar al sitio, parece 
verdadero, al hacer dig, parece algo legal:


 dig http://www.santander-seguridadrio.com/

; <<>> DiG 9.3.2-P1 <<>> http://www.santander-seguridadrio.com/
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 39679
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;http://www.santander-seguridadrio.com/.        IN A

;; AUTHORITY SECTION:
.                       10605   IN      SOA     A.ROOT-SERVERS.NET. 
NSTLD.VERISIGN-GRS.COM. 2007060600 1800 900 604800 86400

;; Query time: 265 msec
;; SERVER: 200.42.0.108#53(200.42.0.108)
;; WHEN: Wed Jun  6 20:58:31 2007
;; MSG SIZE  rcvd: 131


Y al hacer whois:

 whois 200.42.0.108


También parece normal:

nic-hdl:     MIF
person:      Network Services
e-mail:      networkservices en PRIMA.COM.AR
address:     La Rioja, 301,
address:     C1214ADG - Capital Federal - BA
country:     AR
phone:       +54 11 43700070 []
created:     20021105
changed:     20070604

nic-hdl:     NEA
person:      Network Administrator - Noc Fibertel
e-mail:      noc en FIBERTEL.COM.AR
address:     Aguero, 3440, 2 Piso
address:     1605 - Munro - BA
country:     AR
phone:       +54 11 4778-6569 []
created:     20030204
changed:     20070423



* Ahora, la página oficial es distinta: 
http://www.santanderrio.com.ar/individuos/


Y tiene otros datos:

dig http://www.santanderrio.com.ar/individuos/

; <<>> DiG 9.3.2-P1 <<>> http://www.santanderrio.com.ar/individuos/
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 28833
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;http://www.santanderrio.com.ar/individuos/. IN A

;; AUTHORITY SECTION:
.                       600     IN      SOA     A.ROOT-SERVERS.NET. 
NSTLD.VERISIGN-GRS.COM. 2007060600 1800 900 604800 86400

;; Query time: 514 msec
;; SERVER: 80.58.32.33#53(80.58.32.33)
;; WHEN: Wed Jun  6 21:02:56 2007
;; MSG SIZE  rcvd: 135

---

whois 80.58.32.33
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag

% Information related to '80.58.32.0 - 80.58.55.255'

inetnum:        80.58.32.0 - 80.58.55.255
netname:        RIMA
descr:          Telefonica de Espana SAU
descr:          Red de servicios IP
descr:          Spain
country:        ES
admin-c:        ATDE1-RIPE
tech-c:         TTDE1-RIPE
status:         ASSIGNED PA
mnt-by:         MAINT-TdE
source:         RIPE # Filtered

role:           Administradores Telefonica de Espana
address:        Ronda de la Comunicación s/n
address:        Edificio Norte 1, planta 6ª
address:        28050 Madrid
address:        SPAIN
org:            ORG-TDE1-RIPE
admin-c:        ADT89-RIPE
tech-c:         TTE2-RIPE
nic-hdl:        ATdE1-RIPE
mnt-by:         MAINT-TdE
abuse-mailbox:  nemesys en telefonica.es
source:         RIPE # Filtered

role:           Tecnicos Telefonica de Espana
address:        Emilio Vargas, 4
address:        28043-MADRID
address:        SPAIN
org:            ORG-TDE1-RIPE
admin-c:        TTE2-RIPE
tech-c:         TTE2-RIPE
nic-hdl:        TTdE1-RIPE
mnt-by:         MAINT-TdE
abuse-mailbox:  nemesys en telefonica.es
source:         RIPE # Filtered

% Information related to '80.58.0.0/16AS3352'

route:          80.58.0.0/16
descr:          RIMA (Red IP Multi Acceso)
origin:         AS3352
mnt-by:         MAINT-TdE
source:         RIPE # Filtered




---


Pero, fíjense el mail, parece hecho con fines de phishing:


Banco Rio Boletin Urgente:
De: 
Banco Rio <Seguridad en bancorio.com>
  Para: 
marcospcmusica en yahoo.com.ar
  Fecha: 
06/06/07 22:11

     
 
  Banco Rio le comunica que con la entrada del año 2007 los servidores de 
procesos bancarios han sido actualizados y estan ya operativos. Sin embargo 
debido a la ingente cantidad de usuarios que usan Internet como medio de pago 
seguro, nos vemos en la obligación a pedirle su colaboración para una rápida 
restauracion de los datos en las nuevas plataformas. 
 Si no ha entrado en su cuenta bancaria en las últimas 12 horas se ruega lo 
haga de inmediato para evitar cualquier posible anomalía en su cuenta o 
futura pérdida de datos.
 
 Click Aqui Para Acceder:
 
http://www.santander-seguridadrio.com/httpwww.santanderrio.com.arindividuos/   

banco Rio pone a tu disposición, sin costo adicional nuevos servidores que 
cuentan con la última tecnología en protección y encriptacion de datos. 
 Una vez mas Banco Rio líder en el ramo.
Le recordamos que últimamente se envian e-mails de falsa procedencia con fines 
fraudulentos y lucrativos. Por favor nunca ponga los datos de su tarjeta 
bancaria en un mail y siempre compruebe que la procedencia del mail es de 
Seguridad en santanderrio.com.ar

   
  Todos los Derechos Reservados 1998-2006 Grupo Financiero Banco Rio.A.
 Para cualquier duda o aclaración comuníquese con nosotros
 al Tel. 343 00 43 o 01 8000 51 7777
-- 
     `&' 
      #           Marcos Guglielmetti               
      #   Musix GNU+Linux, 100% Software Libre      
     _#_       http://www.musix.org.ar/en           
     (#)     
    / O \    + archivos: ftp://musix.ourproject.org/pub/musix
   ( === )   Ecología: http://autosus.wordpress.com    
    `---'    Personal: http://marcospcmusica.wordpress.com

Más información sobre la lista de distribución Solar-general