Nuevo phishing a usuarios de importante banco en Chile

El phishing así como las técnicas de Ingeniería Social cambian y evolucionan constantemente para hacer caer a los usuarios incautos. Los cibercriminales buscan incesantemente entidades bancarias y productos asociados a estas con el fin de utilizarlos para amenazar a la persona con que si no actualiza sus datos o realiza determinada acción, tendrá problemas con sus servicios.

En esta oportunidad escogieron como grupo objetivo a los usuarios de un importante banco chileno. En el correo que la víctima recibe, se hace alusión a un problema con la sincronización de la llave electrónica que permite realizar transacciones en línea, Digipass y la base de datos del banco, solicitándole que ingrese al sitio para poder llevar a cabo una supuesto cifrado de 128 bits.

La siguiente imagen muestra errores que se cometieron, como la inclusión de una dirección de correo dudosa por parte del remitente o la falta de acento en la palabra “encriptación”:

Una vez que se abre la web en cuestión, se solicita ingresar el RUT (Rol Único Tributario), que es un número irrepetible de identificación personal y tributaria que poseen tanto personas naturales como jurídicas en Chile. Luego se pide escribir la clave de acceso a los servicios de Internet del banco.

El sitio malicioso es capaz de determinar si el RUT que se ingresa es válido con el fin de intentar obtener información verdadera, de lo contrario, se le solicitará al usuario ingresar su número de identificación nuevamente.

Una vez completado el primer paso, es necesario escribir la dirección de correo electrónico del usuario que esté registrada en el banco, otra vez su clave de acceso, y contraseña Digipass. Esta última consiste en un número entregado por un dispositivo personal que debe ser escrito cada vez que la persona realiza transacciones o transferencias superiores a un determinado monto como una forma de protección adicional.

Finalmente se le hace creer a la víctima que todo el proceso ha fallado debido a un problema en la conexión a Internet.

Este intento de fraude utiliza técnicas clásicas de Ingeniería Social como camuflar visualmente el hipervínculo malicioso haciendo parecer que es genuino, o la utilización de imágenes y tipografía propias de esa entidad. También se cometen los típicos errores que nuevamente podrían levantar la sospecha del usuario, como la omisión indiscriminada de acentos ortográficos y la gramática poco cuidada.

Falso error de conexión
No está de más repetir que ninguna institución financiera solicita este tipo de información a través de correo electrónico, por lo mismo, el usuario jamás deberá entregar datos sensibles de esta manera.

En última instancia, cualquier duda relacionada con los servicios en línea de su banco debe ser canalizada por los medios oficiales de este, ya sea digitando la dirección del sitio directamente en el navegador, o mediante el número telefónico de atención a clientes.

André Goujon
Especialista de Awareness & Research

Autor , ESET

Síguenos