El día de ayer recibimos en nuestros laboratorios una campaña de phishing dirigida a usuarios de una reconocida entidad financiera en Colombia. A continuación presentamos en que consiste y de qué forma recolecta la información personal de las víctimas.

Como ya es conocido la mayoría de las campañas de phishing tratan de ganarse la confianza de un usuario con el objetivo de engañarlo y de esta forma tener acceso a la información personal. Lo que tradicionalmente se utilizan son correos electrónicos falsos, que se hacen pasar por mails enviados por una entidad reconocida, en su mayoría asociadas a entidades bancarias como es el caso de esta campaña. Incluso hemos visto campañas de phishing a otros bancos que intentan vulnerar la doble autenticación.

Al hacer clic en el link contenido en el cuerpo del mensaje el usuario es dirigido a un servidor que contiene una página web muy similar a la del banco utilizada para tratar de robar información, que le permita al ciberdelincuente acceder a la cuenta de los usuarios. Como vemos en este caso, el usuario será llevado por varias pantallas pidiéndole su información. En primera instancia le pide el nombre de usuario y el número del documento de identidad.

Luego utiliza teclados virtuales, para solicitarle al usuario que ingrese su primera y segunda clave para acceder a los servicios financieros. Es importante resaltar como en este punto el ciberdelincuente utiliza los mismos elementos que se pueden encontrar en la página oficial de la entidad financiera para buscar obtener con mayor facilidad que el usuario brinde su información personal.

Luego de tener estos datos, el ciberdelincuente busca obtener información adicional que le permita burlar otro mecanismo de seguridad empleado por la entidad financiera. En este caso, se trata de unas preguntas de seguridad que la entidad financiera utiliza para asegurar que el usuario que está tratando de ingresar a los servicios es quien dice ser.

Una vez ingresada esta información, la víctima es redirigida a la página real de la entidad financiera, exactamente en el punto donde iniciaría normalmente el ingreso a la sucursal virtual. De esta forma se minimiza la posibilidad de levantar algún tipo de sospecha relacionada con la intención de fraude.

Con la información recolectada el ciberdelincuente tendrá acceso a la cuenta de la víctima para hacer cualquier tipo de movimiento de dinero. Ahora la pregunta que puede surgir es cómo llega esta información robada al ciberdelincuente. A través de una captura de tráfico, se puede ver como a medida que el usuario va pasando por las diferentes páginas antes mencionadas se va construyendo lo que parece ser un mensaje.

Al analizar con un poco de cuidado este mensaje, se nota que ha sido cifrado utilizando base64. Si decodificamos esta cadena de caracteres vamos a poder darnos cuenta que toda la información del usuario ha sido recopilada y queda lista para ser almacenada en el servidor malicioso utilizado por el ciberdelincuente.

Es importante recordar a nuestros lectores que si bien este tipo de estafas se vienen utilizando hace mucho tiempo, los cibercriminales no las dejan de utilizar pues aún siguen encontrando usuarios desprevenidos que les permiten obtener ganancias económicas. Aunque también es importante resaltar que se han visto nuevas técnicas de phishing que afectan Latinoamérica.

Por estas razones insistimos en el cuidado que se debe tener al revisar correos electrónicos teniendo en cuenta que ninguna institución financiera seria solicita información sensible a través de medios electrónicos como correo, redes sociales, etc. Si por alguna razón ha recibido un mensaje de este tipo y ha ingresado algún tipo de información sensible le recomendamos que entre en contacto inmediatamente con la entidad para evitar daños mayores sobre sus activos.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research