Falso sitio suplantaba identidad de institución financiera de Colombia para robar información de clientes | WeLiveSecurity

Falso sitio suplantaba identidad de institución financiera de Colombia para robar información de clientes

Analizamos un sitio web falso, que ya fue dado de baja, utilizado para engañar a los usuarios con la intención de robar datos sensibles, como los números de la tarjeta de crédito.

Analizamos un sitio web falso, que ya fue dado de baja, utilizado para engañar a los usuarios con la intención de robar datos sensibles, como los números de la tarjeta de crédito.

Similar al hallazgo de hace un par de meses en el que detectamos un sitio que buscaba robar información financiera de clientes de una entidad financiera de Colombia, esta semana descubrimos otro servidor que alojaba un falso sitio web que suplantaba la identidad de otro importante banco de dicho país con el objetivo de captar datos personales y de tarjetas de crédito de sus clientes. Si bien al momento de esta publicación el sitio ya fue dado de baja, las campañas de phishing como estas se ven con mucha frecuencia, por lo que analizaremos el engaño con el fin de concientizar a los usuarios acerca de este tipo de engaños y de paso a aprender a reconocer cómo funcionan estas campañas de suplantación de identidad.

Lamentablemente, es muy común el uso de técnicas de ingeniería social por parte de los cibercriminales para engañar a los usuarios y hacerles creer que algo es legítimo cuando en realidad es falso. Por esta razón, es importante mencionar que la entidad financiera no tiene ningún tipo de responsabilidad ni relación con este engaño en el que se utiliza su imagen para llevar adelante un acto malicioso.

Análisis del sitio web falso

Imagen 1. Página de inicio de sesión del falso sitio

Si bien no tenemos una muestra del mensaje que llegaba a la víctima con el enlace a este sitio apócrifo, es probable que sea a través del correo y con un mensaje relacionado a un problema en la cuenta de la potencial víctima, ya que la URL hace clara referencia al bloqueo de productos: desbloqueXXXXX.com. Una vez que el usuario hacía clic era redirigido a la página de inicio de sesión de un sitio con una apariencia igual a la del sitio oficial, invitando al usuario a ingresar para ver de qué se trata el problema.

Como hemos visto en reiteradas oportunidades, este sitio también contaba con certificados SSL, demostrando una vez más que los ciberdelincuentes están implementando esta práctica con gran frecuencia para maximizar su efectividad, ya que el mismo navegador informa que es seguro el servidor y muestra el candado verde cerrado.

Imagen 2. Información del certificado del falso sitio

Como se puede observar en la Imagen 2, el certificado no había sido emitido a nombre de la entidad real. Este ejemplo demuestra la importancia de comprobar manualmente que se trata de un certificado válido.

En cuanto al dominio utilizado, corroboramos que el mismo fue registrado el 10 de diciembre y utiliza servicios de privacidad de registro, dato también curioso.

Imagen 3. Datos del dominio

Información que buscaban robar

Tras acceder al falso sitio comprobamos qué información intentaban obtener.

Imagen 4. El primer dato que intentaban robar son las credenciales de acceso al sistema de banca electrónica.

Como se aprecia en la imagen, los responsables detrás de esta campaña buscaban obtener la clave para acceder al sistema de banca electrónica.

Imagen 5. En segunda instancia buscaban recolectar credenciales de acceso a la cuenta de correo de la víctima.

Luego, buscaban captar datos personales como el correo electrónico, la clave de su cuenta y el número de teléfono.

Imagen 6. Información de tarjetas de crédito y/o débito

Una vez que la víctima continuaba el proceso llegaba a una página sobre activación de su tarjeta de crédito y/o débito, lo cual probablemente daba a entender al usuario que el bloqueo está relacionado a sus tarjetas, ya que el mensaje indicaba que debía ingresar los números de sus tarjetas de crédito y/o débito para activarlas.

Imagen 7. Mensaje de confirmación exitosa tras el ingreso de los datos que muestra el falso sitio web

Llama la atención que para terminar con el engaño el falso sistema informaba a la víctima que los datos ingresados (todos ficticios en los ejemplos que se mostraron) fueron verificados correctamente y que el usuario por seguridad debía volver a iniciar sesión. En este punto, el engaño redirecciona al sitio oficial de la entidad bancaria, con lo que el usuario sin haberse percatado de ningún cambio ingresaría sus credenciales sin mayor problema.

Retomando el tema de la importancia de verificar la legitimidad de los certificados digitales haciendo doble clic sobre el candado, en la Imagen 8 podemos apreciar la información que contiene el certificado del servidor oficial en el cual se aprecia claramente la información de la empresa, tal como corresponde.

Imagen 8. Información que contiene el certificado digital del sitio oficial de la entidad financiera.

Conclusión

Es importante que los usuarios tengan presente que en caso de que una empresa necesite este tipo de información de sus clientes, lo más probable es que publique un comunicado en su sitio oficial o bien que aparezca el mensaje al momento de ingresar al sistema de banca online. Ninguna empresa debería solicitar a través del correo el ingreso de datos personales como claves, números y códigos de seguridad de tarjetas de crédito o débito.

Para más información acerca de cómo prevenir ser víctima de este tipo de engaños recomendamos la lectura consejos para evitar el phishing.

En caso de sospechar acerca de la legitimidad de algún mensaje en particular, pueden enviar muestras para su análisis a samples@eset-la.com. También se pueden denunciar estos sitios sospechosos a las direcciones oficiales de las entidades.

Discusión