El Laboratorio de Investigación de ESET Latinoamérica detectó una nueva campaña de phishing en México que intenta afectar a usuarios de importante institución bancaria que opera en el país.

La campaña sigue activa y se propaga a través de correos electrónicos que hacen alusión a un supuesto bloqueo de acceso a la banca por Internet. Generalmente, este tipo de mensajes no se realizan de manera personalizada. Sin embargo, en su intento por parecer un correo legítimo se incluye la dirección de correo electrónico de la potencial víctima.

Si el usuario ingresa al enlace para realizar la aparente activación, automáticamente es dirigido a un sitio similar a la página web oficial del banco; tal como se muestra en la siguiente imagen.

Antes de seguir adelante, vale la pena mencionar algunos aspectos del mensaje que nos permiten darnos cuenta que estamos ante una campaña maliciosa. En primer lugar, la dirección URL no corresponde con la del sitio oficial del banco; incluso se intenta engañar al usuario con el dominio www-hssbbc-com-mx.

Es importante destacar que el sitio ilegítimo utiliza comunicaciones cifradas mediante el protocolo HTTPS, empleando para ello un certificado verificado por Comodo. Como ya hemos visto en otras oportunidades, este es otro ejemplo de que no basta con verificar que el sitio emplee comunicaciones seguras.

Si la potencial víctima accede al enlace de la Banca Personal por Internet, automáticamente es dirigido a otra página donde debe ingresar su cuenta de usuario; tal como se muestra en la siguiente imagen.

Posteriormente, el usuario es encaminado a otra página donde debe ingresar su contraseña y una fecha memorable. Cabe destacar que recientemente el banco que se intenta suplantar en esta campaña modificó esta opción de autenticación, por lo que actualmente solo es requerida la contraseña. Esto podría ser interpretado como un indicio de que estamos ante un sitio falso.

Como parte del engaño, en una siguiente página se solicita al usuario que proporcione su dirección de correo electrónico, así como la contraseña de dicho correo, para “sincronizar las alertas” que supuestamente le serán enviadas.

Para verificar que el usuario haya ingresado de manera correcta la información antes solicitada, se le solicita realizar nuevamente la operación anterior aludiendo a un falso error de sincronización.

El sitio de phishing también solicita el nombre del usuario y su número telefónico (fijo y celular), ya que aparentemente se comunicarán para una confirmación telefónica. Es probable que toda la información recabada pueda comprometer de una forma más seria a la víctima, o bien, que todos los datos puedan ser utilizados con otros propósitos.

Finalmente, se le envía una notificación al usuario para indicarle que un ejecutivo realizará la “validación” de la cuenta. Como se observa en la imagen a continuación, quienes están detrás de esta campaña buscan adquirir, además de los datos bancarios de la víctima, información personal como la cuenta de correo electrónico y números telefónicos para ser utilizada en forma ilegítima.

En la mayoría de estos casos, los estafadores buscan obtener un beneficio económico mediante la suplantación de instituciones o entidades reconocidas para engañar a los usuarios, en este caso, apuntando a usuarios de la banca por Internet.

Para evitar ser víctima de las campañas de phishing, es importante recordar que las instituciones bancarias no solicitan esta información a través de correo electrónico. Además, los mensajes de correo suelen estar personalizados, por lo que se recomienda no acceder a estos enlaces sospechosos y hacer caso omiso a este tipo de correos.

Cuando se visita el sitio Web del banco, es recomendable revisar la URL, ya que como se observa en esta campaña de phishing, la dirección del sitio ilegítimo no corresponde con la del banco; al mismo tiempo, es necesario verificar el certificado, ya que si bien la página emplea un certificado, éste tampoco corresponde con el certificado del banco, lo que indica que se trata de un sitio apócrifo.

Finalmente, recomendamos ser precavidos y aplicar buenas prácticas de seguridad cuando navegamos por Internet. También  te invitamos a leer la guía definitiva para identificar y protegerte de los engaños en Internet, con el propósito de evitar ser víctimas de este y otros engaños.