Como siempre el sitio falso se promociona a través de correos que simulan provenir de VISA:
Estimado Socio.
Por medidas de seguridad hemos suspendido
su tarjeta de credito y debito para toda operacion
debido a que hay una faltante de datos erroneos
en su cuenta de visa home. se le sugiere que ingrese
al link que figura debajo para seguir utilizando el sistema.
Dirección Web
https://inetserv.visa.com.ar/visahome/login;jsessionid=roqXczW (redirección al sitio falso)
En enlace conduce al siguiente sitio falso:
http://human.sr[ELIMINADO].ac.th/human/wp-content/uploads/visaargentina.html
Y este finalmente conduce a:
http://jizz[ELIMINADO].com/www.visa.com.ar/login;jsessionid=t1UUeqw1DfXsi5SQVeQ9hD1F.html
Una vez robado estos primeros datos (documento y contraseña), se intenta robar todos los datos de la tarjeta de crédito del usuario:
Y, finalmente como es costumbre se redirige al usuario al sitio verdadero de VISA.
Al analizar el código fuente del sitio falso, se puede observar lo siguiente:
Aquí destaca que todos los enlaces de los scripts (.JS) y estilos (.CSS) utilizados por el sitio falso son cargados desde el sitio verdero de VISA, lo cual implica que la empresa no realiza ningún tipo de verificación sobre quien carga sus scripts y permite que los delincuentes utilicen su servidor para generar la página falsa.
Si bien no es un tema crítico, facilita en forma innecesaria el trabajo del delincuente y habla por sí solo de la "importancia" que dá la empresa al tema del phishing.
Actualización: los correos falsos están siendo enviados desde un sitio web vulnerado y que utilizan un popular script en PHP para realizar los envíos:
