Ciberamenaza

Correo suplantado de Banco Falabella es phishing y buscar robo de su información financiera

El reconocido banco es víctima de los cibercriminales que dirigen su ataque a los usuarios en Colombia, donde por medio de una suplantación de identidad el propósito es robar las credenciales de acceso y datos de las tarjetas de crédito y débito.

5 de junio de 2019
Getty

Así lo informó la compañía de seguridad informática ESET, en una nueva entrada de blog firmada por Luis Lubeck, Security Researcher de la citada empresa. La alerta de la compañía de detección de amenazas en la red fue emitida por un correo que llegó al laboratorio de investigación donde identificaron un sitio de phishing que suplanta la identidad de un conocido banco de Colombia que cumple inclusive con el requisito de poseer un certificado SSL, haciendo creer al usuario que caiga en el engaño que ofrece una “mayor protección” a la navegación e ingreso de datos.

El mensaje que contiene el falso correo informa a la víctima que los accesos a los distintos canales fueron bloqueados por medidas de seguridad e invita al usuario a restablecer el acceso a su cuenta para volver a utilizar los servicios con normalidad.

Falso correo que llega a la víctima notificando la suspensión del acceso e invitando a reestablecer su acceso. Imagen: ESET

Le tenemos: Detectan brecha de seguridad en Canva y 139 millones de usuarios fueron afectados

Si un cliente desprevenido recibe este correo y decide acceder al enlace que viene en el cuerpo del correo, se encontrará con una página completamente clonada de la entidad bancaria, en la que incluso todos los enlaces direccionan al sitio oficial de la empresa o empresas asociadas, salvo el botón de ingreso de usuario y clave.

Página clonada de la entidad bancaria oficial. Imagen: ESET

Tal como mencionamos al comienzo de este artículo, la particularidad del sitio es que cuenta con un certificado, lo cual puede observarse a la izquierda del dominio con un candado cerrado y las siglas https previo al dominio.

Sitio cuenta con certificado de seguridad.  Imagen: ESET

Analizando en profundidad la información del certificado se observa que fue realizado por la entidad certificante Let´s Encrypt, la cual brinda los mismos de manera gratuita e inclusive permite ocultar la información del propietario del certificado.

Certificado emitido por Let´s Encrypt

Lo que llama la atención es lo nuevo de la emisión, ya que fue realizada cinco días previos al análisis. Con la información, el laboratorio indagó más a fondo el dominio al cual redireccionaba el correo malicioso, y en línea con el certificado, y se verificó que el mismo también había sido creado recientemente y ocultaba los datos de la entidad registrante.

Información del dominio.  Imagen: ESET

Todo esto muestra la sofisticación de los responsables detrás de este ataque, que buscan maximizar la efectividad del mismo en su intento de lograr vulnerar los cuidados que pueden tener los usuarios a la hora de buscar, entre otras cosas, que el sitio sea seguro, que el dominio tenga alguna referencia (no en este caso) o una coherencia con el mensaje recibido; como en este caso que el dominio hace una clara referencia al desbloqueo de las cuentas.

Si el usuario cae en el engaño, accede a la página e ingresa su número de documento y clave, se encontrará con la siguiente página, en la cual los cibercriminales intentarán dar un paso más e intentarán robar los datos de la tarjeta de crédito o débito de la víctima.

Siga leyendo: Cómo prevenir que su tarjeta bancaria sea clonada y roben sus datos

Instancia en la que se solicita a la víctima que ingrese los datos de su tarjeta de crédito y/o débito.  Imagen: ESET

Como se puede observar en la siguiente imagen, pese a que se ingresaron datos completamente incoherentes con la información solicitada, el sitio los valida como correctos.

Luego de ingresar los datos de la tarjeta de crédito o débito de la víctima, el sitio los valida. Imagen: ESET

Una vez finalizado este proceso, el usuario será redirigido a la página oficial y real de la entidad financiera en cuestión. Vale la pena mencionar que durante el análisis de la campaña no se detectaron segundas intenciones (como puede ser la instalación adicional de algún malware), por lo que se interpreta que solo busca robar información de credenciales y tarjetas de crédito a partir del ingreso de la víctima a través del falso sitio.

Este tipo de ataques demuestra que los usuarios deben estar cada vez más atentos a la hora de navegar por Internet y sobre todo al momento de decidir hacer clic o no sobre un enlace. Con respecto de los certificados de seguridad, se recomienda que los mismos sean a nombre de las entidades respectivas. Al tratarse de un certificado emitido a nombre de la empresa responsable del dominio, no solo se puede observar el candado, sino a la derecha del mismo se observa el nombre de la firma.

Ejemplo de certificado de seguridad legítimo con el nombre de la empresa a la derecha del candado.  Imagen: ESET

“Si bien esto no es limitante, ya que como vimos en este caso la entidad financiera no tiene el registro de certificado de esta manera en su sitio oficial, recomendamos a los usuarios tener en cuenta estos puntos a la hora de navegar por la red y evitar siempre acceder a enlaces que llegan por cualquier sistema de mensajería”, señala el autor.

En caso de que una empresa necesite informar este tipo de eventos a sus usuarios, lo más probable es que publique un comunicado en su sitio oficial o bien que aparezca el mensaje al momento de ingresar al sistema de banca online. Ninguna empresa debería solicitar a través del correo el ingreso de datos personales como claves, números y códigos de seguridad de tarjetas de crédito o débito.

FP recomienda: Por qué es importante instalar la última versión de Chrome (y cómo comprobar si ya la tiene)