Phishing alojado en página del gobierno peruano

La semana pasado reportamos desde el Laboratorio de ESET Latinoamérica algunos casos de phishing a entidades financieras como también para robar datos de tarjetas de crédito. Hoy hemos detectado un nuevo ataque de phishing, se trata de un ataque diseñado especialmente para personas que vivan en Chile, ya que el ataque se realiza para obtener datos de un una importante entidad financiera de ese país. El correo que inicia el ataque llega con el asunto “Su Tarjeta SuperClave Fue Deshabilitado (Activar Urgente)” el cual mediante técnicas de Ingeniería Social intenta que la victima acceda al enlace de la pagina, haciendo creer a la víctima que la tarjeta fue deshabilitada para que la esta proporcione datos sensibles.

Phishing Chile

En el análisis de la página de destino, el panel de login para el home banking pide que se ingresen los datos del usuario, en este caso número del RUT y la clave bancaria. También podemos ver un pequeño detalle en el recuadro de la pagina que indica: “Nuestros e-mails NO CONTIENEN LINKS hacia santaXXX.cl”. Esto es algo contradictorio por el mail que se envía inicialmente a la víctima. Un dato no menos importante es que el sitio de phishing se encuentra alojado en una página gubernamental de Perú (ver dominio .gob.pe). El sitio fue inicialmente comprometido por el delincuente, para realizar el ataque.

Phishing Chile

Una vez que la victima ingresa sus datos estos son enviados a dos cuentas de correo del phisher. Se recomienda ante este tipo de ataques, contar con soluciones de seguridad que incluyan funcionalidades anti-phishing, como ESET NOD32 (y en caso de ser necesario, reportar el correo de phishing), y al utilizar Ingeniería Social, recordar que la educación del usuario es muy importante para evitar estos ataques.

Este tipo de ataques confirma la tendencia de los atacantes por alojar sus sitios maliciosos en páginas web ya existentes que posean diversas vulnerabilidades que permitan alojar el contenido malicioso. Y en este caso, es nada más y nada menos que un sitio alojado en un dominio de un gobierno el que está siendo vulnerado, en este caso puntual en Perú. Nadie esta exento de estos ataques y los webmasters deben estar atentos a las vulnerabilidades en sus sitios y también a los mecanismos para verificar si un sitio web está infectado.

Para mayor comprensión del ataque, sugerimos leer el artículo sobre cómo opera un phisher, ya que ninguna entidad financiera solicita de esta manera información de cambios o cierres. Hemos continuado el análisis sobre el caso y en breve publicaremos más información sobre el ataque y cómo este se lleva a cabo.

Claudio Cortés Cid
Especialista de Awareness & Research

Autor , ESET

Síguenos