De parte de Mitek, nuestro distribuidor exclusivo en Panamá, hemos recibido un caso de phishing que afecta a los usuarios finales de un importante banco de ese país. La víctima recibe un correo electrónico cuyo remitente incluye el dominio real de la entidad bancaria con el fin de generarle confianza. Luego, se menciona que se debe validar la “autenticidad” del usuario en el sistema ingresando información como credenciales de acceso y los números de la tarjeta de coordenadas. Algo que nos llamó la atención del correo fraudulento que recibe la víctima es que se afirma que todos estos datos estarían siendo solicitados por una supuesta mejora en el sistema de seguridad del banco. Para hacer más creíble el engaño, se afirma que todo este cambio está siendo implementado a través de la norma ISO 14001. Lo que no consideraron los ciberdelincuentes responsables de este phishing es que es la familia ISO 27000 la que establece un Sistema de Gestión de la Seguridad de la Información (SGSI). La norma ISO 14001 regula todo lo relacionado al cuidado del medio ambiente:

Parte del correo que recibe la víctima

Tras la larga descripción que se le hace a la potencial víctima para engañarla, se incluyen dos enlaces que dirigen al usuario hacia otros sitios.  El botón “Personal” es el encargado de llevar a la persona a la página fraudulenta. En contraposición, “Empresarial” abre el portal genuino de la entidad bancaria. Con esto podemos inferir que este ataque de phishing está destinado específicamente a clientes hogareños y no corporativos. En la siguiente captura, se puede apreciar los botones mencionados anteriormente como también, la parte del texto del correo que tiene como finalidad, asustar al usuario.

Otra parte del correo que recibe la víctima
Si la potencial víctima no adopta un comportamiento seguro y presiona el botón "Personal", estará accediendo a un sitio fraudulento que visualmente es muy similar al genuino de la entidad bancaria afectada. En primera instancia, se solicita el nombre de usuario. Una vez que dicha información es proveída, se pide la contraseña de acceso a la cuenta. Finalmente, se requiere que la víctima ingrese las coordenadas que aparecen en su tarjeta personal:

Se pide a la víctima ingresar coordenadas
Finalmente, el fraude concluye informándole al usuario que el servicio de banca en línea está en mantenimiento y que vuelva a intentar la operación dentro de las próximas 24 horas. Como puede apreciarse en las capturas a lo largo de este post, nuevamente los cibercriminales cometen errores ortográficos y de gramática, aspecto que puede ayudarle al usuario a determinar si un correo es legítimo o no. Por otro lado, recomendamos la lectura de nuestra publicación Descubriendo enlaces engañosos con el fin de poder detectar si un hipervínculo que aparenta ser genuino, realmente lo es. Asimismo, mencionar que ninguna entidad bancaria o empresa seria, solicitará información sensible a través de medios como correo electrónico, redes sociales, entre otros.

André Goujon
Especialista de Awareness & Research