Nueva forma de robar contraseña de clientes bancarios: ESET

El laboratorio de investigación de ESET, compañía líder en detección proactiva de amenazas, detectó una nueva campaña de phishing a través de un correo electrónico que podría robar las credenciales de acceso de los servicios de banca en línea de usuarios de una institución bancaria en el norte de México.

El correo electrónico que usurpa la identidad del banco emite una falsa alerta sobre un inicio de sesión en la cuenta del remitente, esto con la intención de que el usuario revise la actividad de la cuenta y proporcione datos cuando se accede al enlace.

Al dar clic al enlace, los usuarios son redireccionadas a un sitio falso con dominio localizado en Perú. Una vez que se ingresa, se muestra una página de inicio de sesión que solicita datos como usuario y contraseña para acceder a los datos bancarios del cuentahabiente.

Imagen 1. Correo electrónico falso que simula una alerta bancaria

Si bien la página apócrifa cuenta con certificado de seguridad y usa HTTPS (como la mayoría de los sitios de phishing), el error se hace notar al ver que la URL no corresponde con la oficial del banco, ni tampoco la información del certificado.

Imagen 2. Sitio de phishing que suplanta la imagen del banco XX

En caso de que la persona proporcione sus claves de acceso es nuevamente redireccionado a una página que simula un bloqueo de la cuenta, donde solicita un token que permita verificar la identidad del cuentahabiente. Es en este proceso falso de autentificación, donde los usuarios caen en el engaño.

Imagen 3. La campaña de phishing simula un bloqueo de la cuenta.

El siguiente paso, es solicitar más datos del usuario con el pretexto de la reactivación del servicio en línea. Se piden datos como el número de tarjeta, NIP, fecha de expiración y código de seguridad. Una vez que el sitio falso ha recopilado a información sensible, el cuentahabiente es dirigido al sitio oficial del banco.

“Las campañas de phishing como la que se explicó siguen teniendo efectividad y son muy comunes para el robo de datos bancarios y su posterior venta en el mercado negro, en parte, porque muchas personas aún desconocen qué es una campaña phishing. La educación y la concientización son herramientas claves, sumado a mantener los sistemas actualizados y contar con una solución de seguridad instalada en los dispositivos permite disfrutar de la tecnología de manera segura”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Imagen 4. Sitio fraudulento solicita información de tarjeta de crédito.

Este tipo de fraudes se da porque el sitio apócrifo indica que la institución nunca solicita datos como el usuario, contraseña o token, información personal o confidencial, lo que proporciona cierta confianza en las personas que reciben este tipo de mensajes.

ESET Latinoamérica acerca recomendaciones de seguridad contra phishing:

• No abrir los correos electrónicos que llegan a la bandeja sin ser solicitados.

• Existen casos de phishing que fácilmente podrían identificarse como engaños, aunque también han aparecido otras campañas con nuevas características, como el uso de certificados de seguridad, candado de seguridad y uso de protocolos seguros.

• Además de verificar los elementos antes mencionados, es necesario revisar también el certificado de seguridad para comprobar la legitimidad del sitio en cuestión, así como verificar que la URL corresponda con la dirección legítima del banco. En caso de tener sospechas sobre la legitimidad de un sitio se recomienda escribir manualmente la URL en la barra de dirección del navegador.

• Si por error se ha caído en el engaño, es importante cambiar lo antes posible las credenciales de acceso para ingresar al banco e implementar de ser posible el doble factor de autenticación. Por último, reportar el incidente ante la institución bancaria correspondiente, ya que esto podría generar movimientos no autorizados en la cuenta.