Hemos detectado una nueva campaña de phishing que utiliza una computadora portátil Sony VAIO y un iPad como supuestos premios para seducir al usuario. En el correo que simula provenir de un conocido banco chileno, se afirma que el destinatario habría resultado ganador de un concurso semanal debido a las “continuas operaciones bancarias” que teóricamente realizó. Luego, el texto insta al usuario a visitar el enlace engañoso diciéndole que debe verificar y procesar una “secuencia de seguridad”. Aunque este caso de phishing luce similar a otros, nos llamó la atención que los cibercriminales decidieran utilizar un premio (generalmente usado para propagar malware) como Ingeniería Social en vez de recurrir a la táctica scareware. Esta consiste en causar una sensación falsa de angustia y desesperación en la persona para que esta realice una determinada acción como entregar información bancaria en un sitio fraudulento. Por lo general, los ataques de phishing utilizan frases como que si no ingresa tal dato, la cuenta se bloqueará o se incurrirá en gastos extras. A continuación se muestra una captura del correo electrónico en el cual llega el fraude:
Si el usuario es incauto y hace clic sobre el enlace malicioso, será dirigido a un sitio muy similar al genuino del banco en cuestión. Allí se le solicita ingresar sus credenciales de acceso de home banking. En este caso, el nombre de usuario corresponde al RUT que es el número de identificación para personas jurídicas y naturales que se utiliza en Chile. Al igual que en otros casos, los cibercriminales conservan adrede los consejos de seguridad que suelen desplegar las entidades financieras en sus respectivos sitios como forma de darle legitimidad a la página. En la siguiente captura se puede apreciar resaltados en un cuadro rojo, aquellas sugerencias relacionadas a la Seguridad de la Información de los usuarios:
Una vez que se ingresan los datos solicitados por los ciberdelincuentes, se le muestra un mensaje de error que dice que la información no ha podido ser procesada y que se vuelva a intentar la operación dentro de los próximos 15 minutos. Independiente del país y entidad bancaria, el phishing continúa siendo una metodología muy utilizada por cibercriminales para obtener rédito económico. El usuario siempre debe tener en mente que ninguna institución financiera solicita información confidencial por medios electrónicos como correo o redes sociales. Asimismo, recomendamos la lectura de nuestra infografía: ¿Cómo funciona el phishing? Con el objetivo de entender el modo de operar de este tipo de ataques y la cantidad de dinero que los cibercriminales pueden llegar a obtener a través de esta modalidad de fraude.
André Goujon
Especialista de Awareness & Research
