Phishing supuestamente proveniente de El Salvador afecta a usuarios de México

El siguiente post ha sido escrito y publicado por Josep Albors, de Ontinet (distribuidor exclusivo de ESET para España). Reproducimos esta publicación que detalla un nuevo caso de phishing que afecta a usuarios mexicanos de una conocida tarjeta de crédito. Aunque este fraude electrónico está dirigido a ese país, en el remitente del mensaje se puede observar que el dominio de segundo nivel pertenece a El Salvador, aspecto contradictorio.

A pesar de que los engaños que usan a las entidades financieras o, como en este caso, emisoras de tarjetas de crédito son algo con lo que llevamos conviviendo desde hace tiempo, este tipo de fraude se resiste a desaparecer. En los últimos días hemos recibido en nuestro laboratorio varios correos que intentan suplantar a una conocida tarjeta de crédito y engañar al usuario para que este acceda a los enlaces proporcionados en el email. Un ejemplo de correo falso es el que mostramos a continuación:

Correo que recibe la víctima

Como vemos, no se limita a presentar la información de forma sencilla, sino que los creadores de esta nueva campaña de phishing se han tomado la molestia de presentar el correo con un aspecto más o menos profesional, algo que sin duda les ayudará a ganarse la confianza de más de un usuario. En este correo podemos observar una serie de puntos que, si somos un poco observadores, deberían alertarnos de la peligrosidad de este mensaje.

El primer punto de interés que encontramos son las direcciones del remitente y la de respuesta. Si nos fijamos atentamente, la dirección del remitente contiene un dominio de segundo nivel (.com.sv). Este dominio pertenece a El Salvador y, si bien puede ser usado perfectamente por cualquier empresa, es extraño que una compañía tan conocida como la mencionada en el fraude lo utilice.

A continuación tenemos la dirección de respuesta, con un correo con dominio gmx.com, perteneciente a una empresa que ofrece correo electrónico gratuito. En este punto ya deberíamos sospechar que algo falla, puesto que dudamos que una empresa de esta magnitud se comunique con sus clientes usando una cuenta de correo de este tipo.

Por último, tenemos el enlace al que accedemos tras pulsar el llamativo botón “Activar cuenta”. Si nos fijamos en la parte inferior de la captura, vemos que el enlace que aparece al pasar el cursor por encima no tiene nada que ver con la tarjeta de crédito.

Si accedemos a este enlace, se nos mostrará durante un par de segundos una pantalla de bienvenida:

Mensaje de bienvenida

Seguidamente se nos redirige a una nueva página donde se nos solicitan todos nuestros datos personales y los de nuestra tarjeta de crédito. Con la información que un usuario incauto introduce en esta web, los ciberdelincuentes pueden empezar a realizar operaciones con esa tarjeta de crédito a cargo del usuario, el cual no sospechará nada hasta que reciba el extracto con todas las operaciones realizadas sin su consentimiento.

Se solicita información confidencial a la víctima

Una vez rellenados todos los campos, y tras haber pulsado sobre el botón “Confirmar mi cuenta”, los datos se envían a donde hayan especificado los ciberdelincuentes y al usuario se le muestra un mensaje para indicarle que la operación se realizó satisfactoriamente.

Falso mensaje de confirmación

A continuación se redirige aparentemente a la víctima a la página verdadera de esta tarjeta, aunque el enlace que sigue apareciendo en nuestro navegador continúa reflejando el dominio usado por los ciberdelincuentes.

Sitio al que finalmente es redirigida la víctima

Por los dominios usados, la información rellenada por defecto en el formulario y la web a la que redirecciona tras completarlo, parece que esta campaña de phishing está orientada a usuarios de México, aunque se podría adaptar a cualquier país de habla hispana.

Como vemos, este tipo de actividades siguen despertando el interés de los ciberdelincuentes, puesto que aún hay usuarios que caen en este tipo de trampas. Para evitar ser víctimas de este engaño, lo primero que hay que hacer es fijarnos bien en los detalles del mensaje (especialmente los enlaces que se proporcionan) y desconfiar en caso de ver algo sospechoso.

Si hemos sido víctimas de este tipo de engaño, lo primero que hay que hacer es contactar con la entidad emisora de nuestra tarjeta de crédito y avisarles del uso fraudulento que de ella se ha hecho. Debido a que bancos y entidades emisoras de tarjetas disponen de mecanismos antifraude, es probable que recuperemos el dinero si actuamos lo suficientemente rápido.

Josep Albors

Autor , ESET

  • Angel Jose Corea

    Soy de Nicaragua, y recibi este correo y la verdad que me fue muy sospechoso ddesde el comienzo, principalmente po que dice a través de host2.expertglobalhost.com y inmediatamente llame a mi banco el cual me dijo que mi tarjeta esta en perfectas condiciones que haga caso omiso

    • Hola Ángel,
      Como tú bien dices, si los usuarios se fijan en detalles como ese, remitente, redacción, ortografía, enlace, entre otros, podrán percatarse que se trata de un phishing o fraude electrónico. Asimismo, ninguna entidad financiera solicita información confidencial como contraseñas, nombres, tarjetas de crédito, de coordenadas, etc.

      Saludos,
      André

  • Guillermo

    Hola,

    Este correo en un inicio fue dirigido a usuarios de El Salvador. Trabajo en un banco acá y tuvimos varias llamadas haciendo referencia al mencionado correo. Obviamente los delincuentes aprovechan lo que ya hicieron para propagarlo y atacar a otros países en defecto de que la emisora de la tarjeta es internacional.
    Como entidad bancaria nosotros hacemos nuestra labor de educar a los usuarios para que no caigan en este tipo de fraudes, lamentablemente a pesar de la labor, algunos terminan siendo engañados; aunque hemos visto un alza en el porcentaje de usuarios que son más inquisitivos con estos correos y llaman antes de realizar cualquier acción que los ponga en riesgo.

    Gracias por los artículos de su blog, son siempre una buena ayuda para leer y concienciar. Siempre recomiendo la lectura de los mismos a mis conocidos y les digo que si se puden dar una vuelta por la eko (como yo lo hice en 2011) ¡que ni lo duden!

    Saludos desde El Salvador.

    • Hola Guillermo,
      Muchas gracias por tus comentarios. Efectivamente los ciberdelincuentes suelen utilizar un correo y lo modifican para adaptarlo y así poder utilizarlo en otros países.

      Saludos,
      André

Síguenos