El siguiente post ha sido escrito y desarrollado por nuestro compañero Josep Albors, de Ontinet (distribuidor exclusivo de ESET para España), que ha descubierto y analizado un caso de phishing brasileño:
Si hay algo que parece inagotable es el ingenio de los ciberdelincuentes a la hora de generar nuevas campañas de propagación de malware o, como en este caso, phishing. En este blog hemos visto múltiples casos de phishing a entidades bancarias procedentes de Brasil y es que los ciberdelincuentes de esa zona parecen tener una habilidad especial a la hora de usar la ingeniería social para conseguir nuevas víctimas.
El caso más reciente que ha llegado a nuestras manos no destaca precisamente por su complejidad o por el uso de avanzadas vulnerabilidades 0-day. Simplemente apelando a la necesidad del usuario de sentirse seguro cuando realiza operaciones en banca online han conseguido que el cliente se confíe al ver lo que parecen unas robustas medidas de seguridad.
Todo comienza con la llegada a nuestra bandeja de entrada de un correo (en portugués) donde se nos indica que debemos cambiar nuestra tarjeta de coordenadas por haber expirado la que teníamos en uso. Estas tarjetas son una medida de seguridad física adicional que se usan cuando se han de realizar ciertas operaciones bancarias y que muchas entidades bancarias proporcionan a sus clientes.
En ese correo se proporciona un enlace que, tan solo deteniendo el cursor del ratón sobre el mismo durante un instante, podemos deducir fácilmente que no se trata de nada relacionado con la entidad bancaria. No obstante, muchos usuarios no comprueban hacia donde redirigen realmente los enlaces que pulsan y terminan llegando a webs como la que mostramos a continuación.
En esta web (cuya url, de nuevo, nada tienen que ver con la entidad bancaria suplantada) se nos informa de las ventajas de usar una tarjeta de coordenadas, llegando a usar un vídeo que, muy probablemente haya sido tomado “prestado” de la propia entidad que se quiere suplantar. Para que el cliente se confíe aun más, aparece una ventana de alerta indicándonos que podemos estar tranquilos ya que estamos accediendo a un sitio seguro, cosa que es falsa puesto que el protocolo usado no lo es. Solo fijándonos en la url ya deberíamos sospechar que estamos siendo víctimas de un engaño. Pero vamos a imaginar que no hacemos caso a estos indicios de phishing y seguimos adelante.
Aparece la primera verificación de seguridad, indicándonos que rellenemos los datos relativos a nuestra cuenta bancaria. Resulta curioso observar cómo se nos recuerda la importancia de usar el teclado virtual proporcionado en lugar de nuestro teclado físico. Esto no hace más que afianzar la confianza del usuario en el sitio web en que se encuentra, a pesar de que la dirección url mostrada en la barra del navegador sigue sin tener nada que ver con la original del banco suplantado.
La siguiente pantalla nos pide verificar una de las coordenadas de la tarjeta real que el usuario tienen en su poder, aunque cualquier dato introducido servirá, coincida o no con el real. Esto solo sirve para seguir ganándonos la confianza del usuario.
Accedemos por fin a la que parece ser la web principal del banco (aunque los ciberdelincuentes siguen usando una url diferente), donde se nos muestra un aviso en primer plano, recordándonos la importancia de cambiar nuestra tarjeta de coordenadas. Como es lógico, la mayoría de usuarios que han llegado hasta este paso seguirán adelante y se encontrarán con lo siguiente.
Es en este último paso donde “por nuestra seguridad” se nos piden todos los datos de nuestra tarjeta de coordenadas (de nuevo usando un teclado virtual). Si llegamos a rellenar todas las casillas solicitadas estaremos enviando toda la información necesaria para que nos roben nuestros ahorros, aunque nosotros pensemos que hemos hecho todos los pasos de forma correcta y segura.
Resultaría interesante averiguar cuanta gente ha picado en este engaño que, si bien parece más elaborado que otros casos de phishing similares, sigue siendo fácilmente reconocible por aquellos usuarios que sepan fijarse en los enlaces a los que acceden. Nuestros compañeros de ESET Latinoamérica han realizado varias investigaciones (http://blogs.eset-la.com/laboratorio/2011/02/16/fast-food-malware/) sobre este tema y comprobado como, aunque una web preparada para robar credenciales o propagar malware esté activa durante poco tiempo, proporciona beneficios nada despreciables a los ciberdelincuentes.
Si buscamos, por ejemplo, información sobre el dominio usado para realizar este phishing, veremos como está registrado a nombre de un particular y no de una entidad bancaria.
Es probable incluso que la persona que aparece como poseedora del dominio haya sufrido el robo de los datos de su tarjeta de crédito y que estos datos y su dirección fueran usados posteriormente para costear el importe de registrar ese dominio.
Como vemos, el phishing evoluciona a medida que los usuarios toman conciencia de los riesgos. No obstante, desde el laboratorio de ESET en Ontinet.com, recordamos que es fácil evitar caer en trampas de este tipo si sabemos identificar aquellos fallos cometidos por los ciberdelincuentes en este tipo de engaños.
Josep Albors
Ontinet
