Campaña de phishing suplanta identidad de banco peruano
ESET Latinoamérica, compañía líder en detección proactiva de amenazas, identificó una nueva campaña de phishing (ataque donde el estafador se hace pasar por una persona o empresa de confianza con el objetivo de adquirir información personal y/o confidencial de la víctima) en la que se suplanta la identidad de una reconocida entidad bancaria del Perú.
Si bien este caso presenta características similares a otros reportados previamente, hay ciertos aspectos que llamaron la atención dado que no se ven frecuentemente.
Algo que ya se observa como una tendencia entre los sitios de phising, es que cuentan con un certificado emitido de servidor seguro. Esto hace que se reduzcan las posibilidades de que un usuario desprevenido active sus mecanismos de alerta ante la presencia del candado verde cerrado y una URL que comienza con HTTPS. En este caso, se comprobó que el sitio cuenta con al menos un verificador de formato, es decir, que los cibercriminales detrás de esta estafa se tomaron el trabajo de asegurarse que los datos ingresados tengan la extensión correcta.
Una vez que ya se ingresaron los datos de la tarjeta de crédito o débito, los operadores detrás de esta campaña continúan buscando más información sensible del cliente como pueden ser sus claves privadas. Luego, el falso sistema de verificación solicita ingresar el código correspondiente al doble factor de autenticación del cliente. Como se observa en la siguiente imagen, aplicando técnicas de ingeniería social, el sitio informa al usuario que está operando en un sitio seguro. En este punto se puede observar cómo los ciberdelincuentes intentan capturar la información que hoy se considera que eleva el nivel de seguridad de las transacciones en línea, como es la del segundo factor de autenticación.
Los procesos de verificación se realizan en el servidor suplantado. La información recolectada por parte de los operadores detrás de esta campaña, queda alojada o es enviada al servidor. Tras analizar los datos del dominio utilizado ESET observó que el mismo fue registrado el mismo día en el que se detectó la campaña y que utilizaron el servicio de privacidad. No obstante, declararon estar en Perú.
ESET recomienda prestar atención a los sitios a los que ingresamos, contar con una solución de seguridad confiable tanto en los dispositivos de escritorio como en los teléfonos móviles y tener presente que, ante la duda, no se debe acceder nunca a los enlaces que llegan a través de un mensaje, sino que lo mejor es ingresar manualmente y así verificar que todo esté en orden. Otro factor clave es implementar el uso del doble factor de autenticación en todos los servicios que esté disponible.