Hace un par de semanas, un amigo me hizo el favor de reenviarme un correo que avisaba sobre un nuevo ataque de Phishing a usuarios de Prodigy Infinium, con la intención de robar sus datos de acceso al portal de BancaNet, del banco Banamex.
Básicamente, el ataque consistía en forzar al ruteador/modem a redireccionar el nombre de Banamex.com a una pagina falsa, diseñada por el hacker, para poder robar los datos de acceso del usuario a BancaNet. Como el ataque era hacia el ruteador/modem, ningun antivirus detectaba el ataque. Y también, al ser el ruteador el que estaba afectado, cualquier computadora conectada a Internet a través de ese ruteador, veía la pagina falsa en lugar del verdadero portal de Banamex.
Solamente pudiste haber sido afectado, si tu modem/ruteador de Infinitum es 2Wire, y no le pusiste un password para evitar la modificación de propiedades. Aun después de esto, tendrías que haber abierto un correo electrónico con una postal falsa de Gusanito.com, la cual ejecutaba los comandos de redireccionamiento en el ruteador.
No entraré mucho en detalle, ya que el objetivo de este post, es enseñar a los usuarios que fueron afectados, como deshacer el redireccionamiento que el ataque de phishing logró, si acaso fueron afectados. Como en las paginas en las cuales encontré detalles del ataque, nunca publicaron como corregir el problema si ya estabas afectado, decidí escribir este post.
¿Cómo saber si fuiste afectado?
En tu navegador, ve a la siguiente dirección. Esta direccion es la que por default traen los modems que entrega Telmex.
http://home/xslt?PAGE=J38
Nota: en ese URL, la palabra “home” redirecciona automaticamente a la dirección IP de tu modem/ruteador 2Wire. Es por eso que aunque le hayas cambiado al ruteador la dirección IP que venía por default, si no habias asignado un password, el ataque era efectivo en el ruteador sin importar la IP que tuviera. Ahora, a seguir con el proceso…
Con eso, estarás entrando a la página “Advanced - DNS Table”.
En la sección de abajo (Name Table), si ves líneas o direcciones que mencionen Banamex.com, haz click en el botón de “Remove” para cada una.
Muy probablemente necesites renovar tu dirección de IP (ipconfig /renew) .
Para verificar que ya no estas siendo redireccionado a una pagina falsa, puedes seguir los siguientes pasos:
- Hacer click en el botón de Inicio (Start).
- Seleccionar la opción de Ejecutar (Run).
- Teclea “cmd” y presiona Enter, para entrar a una ventana de Command.
- Teclea “nslookup Banamex.com”.
- Verifica la dirección IP que te aparece en la última línea. Debe tener un valor de 192.193.230.100.
Si es así, ya estás libre del redireccionamiento. Aun sigues vulnerable, porque el problema esta en el ruteador, pero mientras menos abras correos electrónicos de gente que no conozcas, estarás mas seguro.
Banamex o las autoridades competentes ya lograron dar de baja el sitio falso, pero si el redireccionamiento en el ruteador de los usuarios sigue activo, de todas maneras no podrían entrar al portal de BancaNet.
Obtuve detalles del ataque de los siguientes sitios:
Si conoces a alguien que use Infinitum, por favor pásale la dirección de este post para ayudarlo a eliminar el ataque.
