Ataque de phishing en Brasil a través de correos falsos

Cuando desde una cuenta de correo se recibe un mensaje que parece provenir de una entidad bancaria, en el cual se alerta a los usuarios de que su cuenta está por bloquearse, es recomendable prestar un poco de atención ya que puede tratarse de un ataque de phishing. Esta técnica que pareciera ser simple, en realidad suele tener un gran índice de efectividad. En el siguiente post observaremos algunos detalles y particularidades que permiten a los usuarios identificar estos ataques.

En primer instancia, el ataque comienza con un correo falso, en donde siempre se encuentran palabras relacionadas a las políticas de seguridad del banco, actualizaciones de las metodologías de acceso, o vencimiento de claves; para luego terminar en uno o más enlaces, que redirigen al usuario a la supuesta página del banco. Este es uno de los puntos más importantes a recordar por los usuarios: un correo electrónico proveniente de una entidad bancaria no suele  contener estos enlaces.

Entonces, si el usuario no se da cuenta que se trata de un correo falso, que contiene un enlace engañoso para redirigirlo a un servidor malicioso, podría estar entregando su información a los atacantes:

Como se puede observar en la imagen anterior, el correo contiene un texto que alerta al usuario acerca de una inconsistencia en su información. Debido a ello le recomiendan acercarse a una agencia de manera presencial o realizar la actualización de su información a través del enlace. Al hacerlo el usuario accede a un servidor vulnerado, que aloja el sitio de phishing en donde se lo invita a ingresar sus credenciales, incluyendo su tarjeta de coordenadas:

En un ataque que consiste pura y exclusivamente en la utilización de Ingeniería Social los atacantes logran que un usuario desprevenido caiga víctima del engaño y así obtener sus credenciales de acceso. Como se podrán imaginar, la conexión a este supuesto sitio bancario no se hace a través de HTTPS. La dirección URL pertenece a una página web que ha sido vulnerada y aloja 5 versiones diferentes de el mismo sitio de phishing que son utilizados para robar las credenciales de los usuarios. Entonces, remarcamos la importancia de que al momento de acceder al Home Banking, corroborar que la conexión sea segura, a través de HTTPS, como así también la dirección URL.

Además de los distintos sitios alojados en el servidor vulnerado, se puede observar un archivo con extensión ZIP, que contiene los archivos de configuración necesarios para montar este ataque y para enviar correos falsos que redireccionen a los usuarios a las páginas falsas:


Una vez que los ciber delincuentes encuentran un servidor vulnerable, acceden al mismo para alojar en él este tipo de ataques, basándose en un template que les permite generar distintas variantes en un corto período de tiempo. Cuando se detectan estos sitios, los mismos son reportados con el objetivo de darlos de baja. También debemos remarcar la importancia de mantener actualizados los servidores web y la utilización de contraseñas fuertes, para la conexión a los mismos de manera remota.

Casos como el presentado en este post, remarcan la importancia de además de contar con una solución antivirus con capacidad de detección proactiva, los usuarios adquieran buenas prácticas para navegar por Internet y de esta manera detectar este tipo de ataques y evitar caer en el engaño.

Pablo Ramos
Especialista en Awareness & Research

Autor , ESET

Síguenos