Yo no fuí: La integración entre Bancolombia, NAP Colombia, Coldecon y más.

Desde hace dos semanas muchas páginas web de empresas Colombianas no están visible más. Lo único que tienen en común es que estas páginas están hospedadas en el mismo servidor web en los estados unidos.

Que ha pasado? Son victimas de un ataque? Afectados por un virus? No han pagado su dominio o hospedaje? - Nada de esto. Estás empresas desaperecieron de la vista de los Colombianos a solicitud de la empresa privada Bancolombia. Mientras el autor intelectual de está censura es Bancolombia, el arma viene de la CCIT (Cámara Colombiana de Informática y Telecomunicaciones). Está organización no solo administra el NAP Colombia -la salida internacional de Colombia al internet- sino tambien está asesorando a los proveedores de Internet en asuntos de seguridad. Desgraciadamente varios de estos proveedores están implementando las "recomendaciones" informales de la CCIT como leyes, mientras la CCIT solo copia y pega las listas negras de Bancolombia a sus recomendaciones. Resumido: Si Ud. tiene un primo practicante de sistemas en Bancolombia, puede tumbar la página web de su competencia en pocos minutos. A ningún costo, sin violar los leyes y sin responder para el daño. - Aqui viene el manual.

La "recomendación" de la CCIT:

Este mail recibieron los proveedores de internet afiliados a la CCIT (Cámara Colombiana de Informática y Telecomunicaciones). Parece fraudulento, pero no es. Traducido a un lenguaje menos técnico: El autor está solicitando a los proveedores de internet una censura ("neutralización"). Ni siquiera se identifica: No firma con nombre, ni utiliza una dirección email de una entidad o organización conocida.

Subject: Solicitud urgente de bloqueo de páginas

frente ataque phishing en Bancolombia

Date: Fri, 03 Nov 2006 07:16:27 -0500

From: Grupo de Seguridad > NAP-COL<

<seguridadnap@bltda.com>

To: destinatarios-no-revelados:;



Buenos Días

Señores

NAP Colombia.



Se ha recibido este reporte de phishing por parte

de BANCOLOMBIA (ver mensaje

adjunto), con solicitud urgente de la intervención

de los ISPs, para su

neutralización.



Esperamos que se realicen las acciones

correspondientes, lo mas pronto posible

para limitar las consecuencias de este fraude.



Quedo a la espera de sus confirmaciones e

información de acciones tomadas al

respecto.

Imagínase: Ud recibe un email de justicia@hotmail.com solicitandoles: "Pega duro a tus hijos, lo merecen!" - Ud. va ejecutar esta orden? Esperemos que no. De todas formas muchos proveedores de internet obedecieron a la recomendación y "neutralizaron", no solo unas páginas fraudulentas sino un grán número de páginas web: Los navegantes en Colombia están viendo un internet filtrado a solicitud de Bancolombia.


Porque Bancolombia quiere bloquear páginas?

Los usuarios de transacciones en linea de Bancolombia ultimamente han sido victimas de emails fraudulentos tipo "Phishing". (Vea notas abajo.) Estos emails son un tipo de spam disfrazado como una comunciación oficial de su banco, en este caso Bancolombia. Desde hace los medianos del Octubre están circulando estos mails, falsificando la imágen corporativo de Bancolombia y solicitando la actualización de contraseñas. Para entrar a la ventana de logín el cliente del banco solo tiene dar un clic a un icono en su email. Si las hace, ha caido en la trampa!

todo1.com vs. todo1.info

Para el daño causado responde el mismo usuario: El cliente debe que mantener su contraseña secreto y no entregarlo a terceros. Quiere decir: El mismo cliente tiene que decidir a cuales de las correos masivos y páginas web puede confiar. Esto no es fácil, menos fácil en el caso de Grupo Bancolombia:

Un cliente de Conavi entra por www.conavi.com, pasa por www.grupobancolombia.com para finalmente entregar su contraseña a olbe.todo1.com. El dominio todo1.com está registrado en el nombre de

TODO1 Services

 7400 NW, 19 st, suite C

 Miami, FL 33126

 US

 786-331-0001

No parece a una dirección muy confiable para realizar transacciones con un banco Colombiano, pero es el registro real. No sabemos mucho sobre la empresa TODO1 Services de Miami, pero sabemos que el dominio todo1.info ha sido comprado por estafadores:

Domain Name:TODO1.INFO

Created On:23-Oct-2006 07:40:37 UTC

Last Updated On:09-Nov-2006 16:59:27 UTC

Expiration Date:23-Oct-2007 07:40:37 UTC

Registrant Name:Max Castro

Registrant Organization:no disponible

Este dominio ha sido utilizado en un correo fraudulente, solicitando actualizaciones de contraseñas de clientes Bancolombia. La unica diferencia visible entre página real y página trampos era la diferencia entre todo1.com y todo1.info en la dirección escrito en el navegador.

Se podria decir que los delinquentes son muy listos y avanzados, pero no es verdad. Esta clase de problemas está causado por Bancolombia: Bancolombia tenia que comprar .info .net .com y lo demás dominios parecidos para evitar esta clase de fraude. Tenían que comprar grupobancolombia.net, grupobancolombia.org, grupobancolombia.info etc. para proteger a sus clientes. Se habla de un presupuesto de USD 9.00 por dominio y una inversión de 10 minutos de tiempo.

Unos ejemplos de direcciones utilizados por los delinquentes:

http://bancolombia.olb.todo1.biz/index.php

http://bancolombia.olb.todo1.con.dsrefw02.info/index.php

http://bancolombia.olb.todo1.info/index.php

http://olbe.bancolombia.empresas.control.todo1.biz/BoleTransactional.bancolombia.htm   

http://olbe.sve.control.todo1.co.dsrefw02.info/BoleTransactional.bancolombia.htm       

http://olbe.sve.control.todo1.info/BoleTransactional.bancolombia.htm

http://www.mycit.st/olb/bancolombia.olb.todo1.com/msfv/html/v4/B00007/Login/

http://www.mycit.st/olb/bancolombia.olb.todo1.com/msfv/html/v4/B00007/Login/#  c

http://www.mycit.st/olb/bancolombia.olb.todo1.com/msfv/html/v4/B00007/Login/index.php  

http://www.mycit.st/olb/bancolombia.olb.todo1.com/msfv/html/v4/B00007/Login/index.php?seccion=1

[Fuente: Google Toolbar Safe Browsing Blacklist]



Los hackers no descanzan en los festivos!

"BANCOLOMBIA le comunica que los servidores de procesos bancarios han

sido actualizados y estan ya operativos. ... Si no ha entrado en su cuenta 

bancaria en las últimas 12 horas se ruega lo haga de inmediato para evitar

cualquier posible anomalía en su cuenta o futura pérdida de datos...."

Esto fue el primer mail que nos entró al búzon, exactamente el lunes festivo, 16 de Octubre de 2006, 11:36 am.

Un mail obviamente con malas intenciones: El saludo se dirige al "Estimado Cliente", no está dirigido a una persona especifica. Los enlaces llevan a un dominio banca-bancolombia.com, lo cual en este día estaba registrado bajo el nombre Pedro Slim:

Registrant:

 Pedro Slim

 conocido #547

 Canada, Outside US/Canada 80000

 AD

 Domain name: BANCA-BANCOLOMBIA.COM

 Administrative Contact:

    Slim, Pedro  mamores@hotmail.com

    conocido #547

    Canada, Outside US/Canada 80000

    AD

    +4578457487

 Technical Contact:

    Slim, Pedro  mamores@hotmail.com

    conocido #547

    Canada, Outside US/Canada 80000

    AD

    +4578457487

 Registration Service Provider:

    DiscountDomainRegistry.com

    http://DiscountDomainRegistry.com

    Register your domain for only $14.99 at

    http://DiscountDomainRegistry.com !

 Registrar of Record: TUCOWS, INC.

 Record last updated on 16-Oct-2006.

 Record expires on 16-Oct-2007.

 Record created on 16-Oct-2006.

Visitamos entonces con mucha curiosidad la página www.banca-bancolombia.com, lo cual nos redireccionaba a otra página: Obviamente un blog hackeado en http://www.internettimes.org/images/index.php?seccion=1. En esta dirección encontramos la imagen corporativo de Bancolombia y los formularios para "actualizar" la contraseña. - Nada impresionante ni muy profesional. La única novedad era: Por primera vez hemos visto un phishing dedicado a clientes de bancos colombianos.

Sabemos que los clientes de bancolombia no están preparados contra esta clase de fraude. Los medios no han prestado mucha atención al tema y la mayoria de los usuarios no tienen experiencia suficiente en transacciones en linea. Decidimos hacer lo posible para limitar el exito de este phishing.

Actuamos: Neutralizamos el phishing de Bancolombia!

Comunicarse con un banco en un lunes festivo es nada fácil. Ni en la página web de bancolombia existe un helpdesk, soporte o algo similar. Fracasamos, pero no resignamos: Enviamos un mail de pocas palabras al administrador de la página hackeada:

.. some guy put a phishing site on:

http://www.internettimes.org/images/index.php?seccion=1

please take it down ASAP.

Best wishes

Fue un exito. Los señores no solo contestaron muy amablemente sino tambien borraron el contenido fraudulento. Despues publicaron en su página web un manual, explicando como se puede evitar esta clase de abuso: Se puede leer en http://www.internettimes.org

Con un pequeño mail hicimos una gran favor a muchos usuarios inocentes de Bancolombia: Hemos "neutralizado" el phishing a ningún costo, mientras los señores de Bancolombia estaban todavía de fiesta. Muy contentos nos fuimos a casa a aprovechar lo que se quedó del puente festivo.

Semanas despues: Alguien despierta en Bancolombia
"[Los gerentes colombianos] a veces dejan demasiado trabajo para última hora, lo cual los obliga a improvisar soluciones que no son las óptimas." dijo Karl Lippert, presidente de Bavaria en entrevista con Portafolio. Tíene razón.

Dos semanas despues de que neutralizamos discretamente un ataque contra sus clientes, los señores bancolombia se despertaron. Cada día circularon más phishings pescando por las contraseñas de los clientes bancolombia. Cada día los mails se presentaron más profesional. No más utilizaron dominios tán sospechosos, sino utilizaron dominios como todo1.info y similar. Finalmente los señores bancolombia posicionaron un tanque de guerra contra un mosquito ya muerto: No se atrevieron enviar emails amables. Ni a webmasters, ni a los contactos legalmente registrados para servidores web, ni a sus clientes, ni a nadie. Un solo mail enviado a los miembros de la CCIT alcanzaba para "neutralizar" miles de páginas web.

Los neutralizados

En un servidor web fácilmente pueden ser hospedado 500 págians web de 500 empresas y 100 paises diferentes. Por mala suerte un experto de seguridad despistado sospechaba fraude en la propia página de bancolombia: Encontró en la dirección www.sostenible.com/w/ un enlace a https://bancolombia.olb.todo1.com/servlet/msfv/B0007/Login/loginFrame.htm - Lo cual es la página ofcial de Bancolombia, encryptado y certificado por Verisign Trust Network. El experto despistado agregaba www.sostenible.com a la lista negra. Así bloqueba no solo www.sostenible.com, sino todas las páginas web hopedados en el mismo servidor.

Los "neutralizados" son miles de empresas inocentes de todas partes del mundo. Sin preaviso desaparecieron de la pantalla en Colombia, todavía visible en el exterior. Lo único que tienen en común: Una página web hospedado en un servidor web, que parece en la lista negra de bancolombia. - Si su vecina tiena una deuda con la electrificadora, la empresa corta la luz en todo el barrio? Seguro que no.

En el mismo servidor web detectado por el experto despistado se encuentran cantidades de páginas Colombianas: Así los Colombianos no podrian realizar sus reservas en hoteles y apartamentos en Cartagena durante la temporada, la empresa de revisoría fiscal más importante de la costa no pude revisar sus mails, un mayorista de equipos de comunciaciones de Barranquilla estaba sin comuniciación ni ventas en linea.

Enruteo avanzado: Los ISPs mandan a la basura

Despues de intensas búsquedas por posibles fallas, las victimas del bloqueo finalmente buscaron ayuda en su proveedor de internet. De Coldecon contestaron lo siguiente:

Te envió el reporte que encontramos de parte de

los entes controladores de seguridad, de NAP

Colombia donde están bloqueando la dirección IP

del servidor donde tienes alojada la pagina Web,

por favor comunícate con tu proveedor hosting e

informales sobre el inconveniente.

ip route 205.134.245.10 255.255.255.255 Null0 name

"Phishing Bancolombia 02-nov-2006"

Traducido a una lenguaje menos técnica: Sus páginas están mandamos a la basura. Mencionaron tanto la empresa de hospedaje como el NAP como responsables, contactamos ambos.

"Nothing Strange" en EEUU

La empresa de hospedaje gastaba unos horas revisando su servidor:

I see nothing strange here. ;( Can you ask your ISP about real reason

May be they will send you more details about this "abuse". Thank you

p.s. looks like they have another reason of blocking this IP

or it was made by error. IMHO

Pues, nada raro en el servidor de hospedaje. Entonces buscamos el contacto de los administradores del NAP Colombia, la Camara Colombiana de Informática y Telecomunicaciones CCIT. En su página web encontramos a misión de esta organización:

AGRUPAR  a las empresas privadas del sector de telecomunicaciones e informática,

DEFENDER sus intereses legítimos y PROVEERLES oportunamente de la información 

de su interés.

SER interlocutor válido ante el Estado, medios de comunicación, 

agremiaciones privadas y público en general.

TRABAJAR con el Gobierno Nacional en todo aquello que propicie el 

desarrollo de la informática y las telecomunicaciones.

APOYAR el uso intensivo de la tecnología como factor 

esencial en el desarrollo económico, social y político de Colombia. 

[Fuente: www.ccit.org.co]

No encontramos una referencia a neutralización y/o promoción de listas negras creadas por el sector financiero. Pero si econtramos un contacto por teléfono. Como esperamos nos atendieron muy amablemente, entendieron nuestra preocupación. Prometieron un solución para la misma tarde. Solo tenia que enviar un email con los detalles.

Con quien hablo? Con Bancolombia, CCIT o con el gobierno de China?

Con este mail solicitamos el desbloqueo:

Hemos investigado en RBLs, newsgroups y más, no encontramos ningún reporte

sobre este IP. Ni nosotros, ni los administradores del IP, ni el netblock

owner han recibido una notifición, ni hemos encontrado alguna intrusión en

las páginas hospedados en este servidor.[...]

Si los administradores del NAP Colombia demuestran algún abuso desde el IP

205.134.245.10 vamos a intervenir inmediamente. Por ninguna rázon

aceptamos el bloqueo total de este IP: Si se trata de asuntos de seguridad

se puede proteger a nivel de DNS y/o puertos, lo qual tampoco es la tarea

del CCIT. Hay suficiente herramientas a nivel de ISPs, cortafuegos,

usuario finales y en el mismo Bancolombia para protegerse contra fraude.

No se requiere medidas tán drasticas a nivel del NAP Colombia.

Pocos horas despues llegó la contesta. Aún nos comunicamos con la CCIT, nos contestaba un señor de bancolombia.

Hasta ahora pensamos que en un banco se solicita créditos, no se solicita acceso al internet. Pero tambien enviaron una buena noticias. Los señores bancolombia autorizaron el desbloqueo:

Considero, que si ésta dirección va a ser habilitada nuevamente,

solicitamos el favor de eliminar el código de acceso a la página

transaccional de CONAVI y BANCOLOMBIA, la cual no tiene porque estar

alojada en dicho hosting.

Quiere decir: Alguíen en bancolombia nos está solicitando que alguien que no conoscemos no enlanza a la página oficial de Bancolombia. Por que razón mantienen una página web, si nadie debe que verlo? Por que no son suficiente ingenieros para rechazar enlaces? Son solo pocas lineas para agregar en el servidor web de bancolombia:

 # Declaramos enlaces no deseados

SetEnvIfNoCase Referer (sostenible.com|todo1.info) spammer=yes

order allow,deny

allow from all

# y finalmente negamos estos enlaces

deny from env=spammer

#end spam

Muy complicado? Sin duda es más fácil llenar una lista negra y dejar el trabajo "neutralización" a los proveedores de internet.

La CCIT no fue!

La CCIT consta, en una mail proveniente de bancolombia.com.co:

Para aclararle, el NAP Colombia (y la CCIT que es quien lo administra) sólo

está sirviendo de mecanismo de coordinación y comunicación para temas de

seguridad entre los bancos y los ISPs.  Nosotros no bloqueamos nada, los

que bloquean son los ISPs.

Estos son buenas noticias: Ni bancolombia ni la CCIT están neutralizado. Además tramitaron el desbloqueo en el trascurso de 2 horas.

Nadie, nadie y nadie

Como buenos pesimistas nos pareció como una tarea muy difícil para la CCIT: Si no neutralizan, como van a des-neutralizar? Son magos? En verdad resultó imposible. Dos semanas despues las páginas neutralizadas todavía no estaban accesible. Como nadien fue, tampoco nadien pude solucionar el problema. Nadíe tenia el poder sobre la linea "ip route 205.134.245.10 255.255.255.255 Null0" en los enruteadores.

Los neutralizados miran hacía el futuro con alegría!

Tán castigados los neutralizados decidieron actuar: "Si el pfishing nos hace tanto daño, vamos a hacer lo posible para neutralizarlo." Como primer paso compraron los el dominio grupobancolombia.net: "Si está en nuestros manos, nadie puede manejar un pfishing por esta página!", "Podemos informar a los pobres victimas" "Podemos capacitar a los señores ingenieros de bancolombia" y "podemos volver a reir". Con alegría gastaron unos dolares y unos minutos para neutralizar grupobancolombia.net y grupobancolombia.info. Como no fuera todo: Pocas horas despues recibimos una llamada de la CCIT: Ya está desbloqueado todo. Toda Colombia puede compartir la alegría de los neutralizados.

Muy cordialmente los señores bancolombia-CCIT nos informaron sobre nuestra reintegracion al bancolombianet (la versión nacional del internet), les dieron permiso para leer nuestros mails. Además nos informaron que los señores bancolombia se dieron cuenta sobre nuestra compra de los dominios grupobancolombia.net y .info. grupobancolombia.net ya está neutralizado y tuvimos que migrar a www.grupobancolombia.org!

Phishing es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico o algún sistema de mensajería instantánea. [Fuente: wikipedia]

[Fín del la noticia]