La Ingeniería Social es sin duda uno de los métodos más eficaces a los que recurren los ciberdelincuentes con el objetivo de obtener rédito económico mediante la manipulación de los usuarios desprevenidos para que ejecuten algún código malicioso, o en este caso, que entreguen toda la información de su tarjeta de crédito como el número completo de la misma, fecha de expiración, código de seguridad, nombre y apellido del titular y número CPF (número de registro para identificar a los ciudadanos y residentes brasileños).
Mediante la falsa promesa sobre un concurso asociado a la marca de la tarjeta del usuario, los cibercriminales seducen a la potencial víctima para que entregue la información anteriormente mencionada, pero a través de tres pasos para no levantar la sospecha de la persona. En una primera instancia se solicitan los primeros seis dígitos de la tarjeta de crédito. Luego, los otros dígitos faltantes y más datos como fecha de caducidad y código de seguridad. Finalmente, la víctima debe ingresar su CPF. Una vez que se han completado las etapas contempladas en este fraude, se le informa al usuario que el registro para el supuesto concurso se realizó de forma exitosa y se incluye un número falso de transacción como forma de legitimar el proceso.
A continuación se muestran las tres etapas en donde se le pide al usuario que ingrese la información y la cuarta que afirma que el registro fue realizado satisfactoriamente:
Aunque para muchos usuarios más informados y precavidos este tipo de phishing, en donde se solicita gran cantidad de información sensible de forma tan directa puede resultar absurdo, fraudes similares como este aparecen diariamente, lo que da cuenta que sigue siendo una táctica exitosa considerando que por lo general, este tipo de correos son propagados masivamente para aumentar la probabilidad de que más de un usuario incauto se convierta en víctima.
Si algún usuario llegase a entregar información bancaria sensible como tarjetas de crédito, credenciales de acceso para hacer trámites financieros, entre otros datos, debe contactar a su entidad financiera de forma inmediata y urgente con el fin de bloquear la tarjeta y cambiar las claves necesarias. Una forma sencilla de prevenir ataques de phishing como este es recordando que jamás un banco o institución seria, pedirá información comprometedora mediante correos electrónicos, redes sociales o cualquier medio similar, sin importar la excusa que se utilice de por medio (usualmente los ciberdelincuentes recurren a la táctica del scareware, es decir, amedrentan al usuario para que entregue información que de otro modo no lo haría, o también le ofrecen premios o algo tentador a cambio). En base a lo mismo, es imprescindible ingresar al sitio del banco escribiendo la dirección de este directamente en la barra del navegador y no siguiendo enlaces.
Por otro lado, una conducta precavida e informada sumado a la implementación de una solución antivirus con capacidad de detección proactiva disminuirá considerablemente el riesgo de que una persona resulte afectada por alguna amenaza informática.
André Goujon
Especialista de Awareness & Research
