Se lanzó una nueva campaña de phishing de un importante banco de Brasil. Esta campaña consiste en la clonación del sitio web de la entidad con la finalidad de robar las credenciales de acceso y otros datos importantes que se detallan a continuación.

La campaña comienza con un sitio exactamente idéntico al de la conocida entidad bancaria. La primer característica para sospechar de que se trata de un engaño es el origen del dominio. Como puede visualizarse en la imagen, el dominio pertenece a Vietnam (.vn), lo cual no tiene sentido tratándose de una entidad de origen brasileña. Otro aspecto que hay que destacar, es que este falso dominio no cuenta con ningún enlace habilitado más que aquel que provee acceso al servicio de home banking.

Phishing a importante banco de Brasil

Si el usuario ingresa el número de “Agencia”, el número de “cuenta” y a continuación presiona el botón "OK" (único enlace habilitado) comenzará una serie de pasos para obtener todos los datos que vinculan al usuario con su correspondiente cuenta bancaria.

Contraseña de cuatro dígitos

En este paso, se le solicita al usuario que ingrese los cuatro dígitos correspondientes a su tarjeta utilizando los botones que figuran en el sitio. Sorprendentemente, una vez ingresado los dígitos, el sitio informa que la contraseña es incorrecta y que la misma debe ser ingresada nuevamente.

Contraseña incorrecta

Este comportamiento se debe, posiblemente, a que quienes implementaron este falso sitio requieran dos veces la contraseña para evitar posibles errores por parte del usuario.
Siguiendo la cadena del engaño, el sitio esta vez acepta la contraseña ingresada por el usuario y ahora solicita los tres dígitos de seguridad que se encuentran detrás de la tarjeta de crédito del usuario.

Tres dígitos de seguridad
A esta altura del engaño y de forma increíble, el falso sitio brinda consejos de seguridad al usuario indicando que para no sufrir accesos indebidos a su cuenta es necesaria la activación de la tarjeta de coordenadas.

Consejos de seguridad

Si el usuario presiona el botón de "activar ahora", el sitio falso muestra un formulario para ingresar todos los dígitos de la tarjeta de coordenadas.

Tarjetas de Coordenadas
Una vez que el usuario accede todos los números correspondientes a su tarjeta de coordenadas y presiona continuar, el sitio falso redirige al usuario al sitio original de la prestigiosa entidad bancaria.
Como puede verse en la siguiente imagen obtenida a partir de la captura del tráfico, se puede observar como los datos que fueron ingresados por el usuario son enviados en forma conjunta al sitio sin ningún tipo de cifrado, situando los mismos a disposición de los ciberdelincuentes que implementaron el engaño.

Captura de Tráfico

Este tipo de engaños son cada vez más frecuentes, por lo que se recomienda al usuario que accedan al curso gratuito de “seguridad en las transacciones comerciales en línea” disponible en la plataforma educativa de ESET Latinoamérica.
Además para evitar caer en este tipo de engaños es recomendable contar con una solución antivirus con capacidad de detección proactiva.

Fernando Catoira
Analista de Seguridad