CAMPAÑAS DE PHISHING A IBERCAJA Y LIBERBANK. EMPEZANDO EL AÑO TAL Y COMO TERMINÓ EL ANTERIOR

CAMPAÑAS DE PHISHING A IBERCAJA Y LIBERBANK. EMPEZANDO EL AÑO TAL Y COMO TERMINÓ EL ANTERIOR

Josep Albors | 03 Ene, 2022 | Ciberamenazas | No hay comentarios

A pesar de haber empezado un nuevo año, las campañas de los delincuentes no parece que vayan a cambiar a corto plazo, a tenor de lo observado en los últimos días. Esto tiene todo el sentido del mundo, puesto que los criminales tienden a reutilizar tácticas que han demostrado su viabilidad hasta que estas dejan de resultar lo suficientemente efectivas.

Phishing a Ibercaja y Liberbank

Entre los pasados 30 de diciembre y 1 de enero observamos numerosos correos que se hacían pasar por dos entidades bancarias que operan en España, como son Ibercaja y Liberbank. El formato del mensaje era similar en ambos casos, con el logo de la entidad bancaria suplantada bien visible y un mensaje en el que se alertaba de algún problema de seguridad con nuestra cuenta o tarjeta bancaria.

En los correos suplantando a Ibercaja, por ejemplo, se informaba al receptor de que nuestra tarjeta bancaria sería suspendida a menos que revisáramos el problema pulsando sobre el enlace que nos proporcionan.

Por su parte, los emails que suplantaban a Liberbank hacen referencia a la desactivación de nuestra cuenta, debiendo confirmar nuestra identidad y autorizar unos supuestos pagos pendientes en otro enlace proporcionado en el correo. Un dato importante es que ambos correos estaban enviados desde la misma dirección de correo electrónico perteneciente a un dominio belga.

El uso del mismo correo electrónico y el empleo de una plantilla similar para el cuerpo del mensaje, unido a la proximidad en el tiempo de ambas campañas, son indicativos claros de que detrás de ellas se encuentran los mismos responsables, algo que podemos terminar de confirmar al analizar las webs de phishing preparadas para engañar a los usuarios que muerdan el anzuelo.

Revisando las webs fraudulentas

La técnica que los delincuentes utilizan para llevar a los usuarios a las webs de phishing preparadas consiste en intentar que pulsen sobre el enlace que se incluye en el correo. Sin embargo, este enlace no apunta directamente a las webs maliciosas, sino que primero dirige a un dominio generado de forma aleatoria y usando el servicio Clickfunnels y, seguidamente, realiza una redirección a una web comprometida que utiliza el gestor de contenidos WordPress y está alojada en el servicio EasyWP.

En el caso de Ibercaja, vemos como los delincuentes utilizan el color corporativo y el logo de la entidad bancaria en una web que solicita el código de identificación y la clave de acceso para tratar de convencer al usuario.

Lo mismo sucede en el caso del phishing a Liberbank, donde también se redirige a una web comprometida alojada en EasyWP que imita la identidad corporativa de la entidad y solicita que se introduzca el nombre de usuario y la contraseña utilizada para acceder a los servicios de banca online.

Cabe destacar que las dos webs que han sido comprometidas por los delincuentes cuentan con certificado de seguridad válido y por eso se muestra el candado al lado de la URL. Esto puede llegar a confundir a algunos usuarios, pensando erróneamente que se encuentran ante una web segura cuando, en realidad, el certificado de seguridad solo se encarga de comprobar que la conexión es segura, no que la web lo sea.

Tras introducir las credenciales de acceso, lo siguiente que solicitan los delincuentes son los datos de la tarjeta de crédito, con todos los datos necesarios tanto para realizar compras online como para pagar en establecimientos y retirar dinero en efectivo desde un cajero.

Podemos observar como se utilizan plantillas diferentes dependiendo de la entidad suplantada, tratando de hacerlas lo más creíbles posible de cara a las víctimas, incluyendo logotipos de las entidades suplantadas y supuestos enlaces a otras partes de la web que, en realidad, no llevan a ningún sitio.

Por último, y conocedores de las medidas de seguridad implementadas por la mayoría de bancos desde hace tiempo, en el último paso se solicita el código de seguridad que los bancos suelen enviar a sus usuarios cuando tratan de realizar una operación bancaria que implica movimiento de dinero.

Como vemos, cada banco suplantado cuenta con su propia plantilla para solicitar este código, y es muy posible que si alguna víctima ha llegado hasta este punto, no tenga ningún problema en introducir el código de seguridad. Esto permitirá realizar transferencias de dinero desde la cuenta de la víctima hasta otras cuentas, normalmente controladas por muleros que, posteriormente, reenvían el dinero robado a los delincuentes a cambio de una comisión.

En este punto es importante destacar que las plantillas observadas en las webs fraudulentas son muy similares a otras ya vistas previamente en campañas anteriores de phishing a Ibercaja y Liberbank. Esto puede ser un indicativo de que los delincuentes están utilizando un kit de phishing similar, aunque en esta ocasión no se hayan tomado la molestia de registrar dominios similares a los originales y hayan optado por comprometer la seguridad de webs vulnerables.

Conclusión

Acabamos de comprobar como los delincuentes siguen empleando técnicas de phishing sobradamente conocidas, por lo que es importante protegerse aprendiendo a reconocerlas y contar con una solución de seguridad que sea capaz de reconocer este tipo de suplantaciones de identidad para evitar caer en este tipo de trampas.

Enlace a la noticia: https://blogs.protegerse.com/2022/01/03/campanas-de-phishing-a-ibercaja-y-liberbank-empezando-el-ano-tal-y-como-termino-el-anterior/

NUEVO PHISHING DE IBERCAJA INTENTA ROBAR LAS CREDENCIALES DE LA CUENTA Y LOS DATOS DE LA TARJETA DE CRÉDITO

Junto a los troyanos bancarios dirigidos a sistemas Windows y Android, otra de las amenazas que ha protagonizado varias campañas dirigidas a robar nuestro dinero son los clásicos correos de phishing. A pesar de ser una vieja amenaza, los delincuentes siguen tratando de obtener nuevas víctimas con ella suplantando la identidad de varias entidades bancarias españolas.

Correo sospechoso

Uno de los puntos clave para evitar caer en este tipo de trampas consiste en detectar posibles fallos en los correos enviados por los delincuentes. Obviamente, si el correo recibido es de alguna entidad bancaria en la cual no tenemos ninguna cuenta o tarjeta, lo más seguro es que lo ignoremos y termine en la papelera.

Sin embargo, los delincuentes envían este tipo de correos con la esperanza de que alguno de los usuarios que los reciba tenga una cuenta o tarjeta de la entidad suplantada y se preocupe al leer el contenido del correo que han preparado.

Si revisamos el email comprobamos como no se observan faltas de ortografía, aunque sí una redacción bastante escueta del mensaje. En este punto debemos recordar que las entidades bancarias no tienen por costumbre avisar de problemas en nuestra cuenta o tarjeta mediante email y que, en caso de duda, siempre es mejor acudir a la web oficial de nuestro banco en lugar de seguir los enlaces que se incluyen en este tipo de correos.

Robo de credenciales

En el caso de que algún usuario pulse sobre el enlace proporcionado será redirigido a una web preparada por los delincuentes que simula ser la de la entidad suplantada. En este punto se nos solicitará que introduzcamos las credenciales de acceso para acceder a nuestra cuenta del banco, lo que les permitirá consultar el saldo que hay disponible en la cuenta bancaria y en las tarjetas de crédito.

Sin embargo, los delincuentes no se conforman con obtener solo estos datos, y en el siguiente paso se nos solicitan todos los datos relacionados con la tarjeta de crédito, como su número, fecha de caducidad, código de seguridad CVV y el PIN. Con esta información, los delincuentes pueden hacer compras online a cargo de la tarjeta de la víctima o clonarla para pagar en establecimientos o sacar dinero de un cajero.

Por si fuera poco, en un último paso también se le solicita a la víctima que introduzca el código recibido por SMS en su teléfono móvil. Este procedimiento sigue siendo el usado por la mayoría de entidades bancarias españolas, a pesar de haberse demostrado ineficaz como medida de doble factor de autenticación.

Si la víctima introduce ese código, estará autorizando a los delincuentes a realizar operaciones como transferencias de dinero desde su cuenta a otra controlada por los delincuentes mediante un tercero conocido como mulero. Una vez el dinero ha sido transferido desde la cuenta de la víctima ya será muy difícil que pueda recuperarlo, ya que, a efectos prácticos, es como si hubiera sido la víctima quien hubiese hecho la transferencia.

A pesar de esto, en el caso de haber caído en la trampa, siempre es recomendable avisar a nuestro banco y denunciar el robo del dinero para que se inicie una investigación que podría terminar con la detención de los responsables.

En lo que respecta al dominio utilizado por los delincuentes para alojar esta web fraudulenta, vemos que fue registrado a principios de septiembre, por lo que lleva poco tiempo activa y es posible que se haya utilizado o siga utilizándose durante un tiempo hasta que sea eliminada tras una denuncia previa.

Conclusión

Aunque este tipo de correos pueden identificarse si los observamos con detalle o incluso revisando el enlace al que intentan redirigirnos, son aún muchos los usuarios que no toman estas medidas de seguridad y pueden ser víctimas fáciles de los delincuentes. Por ese motivo es importante contar con una solución de seguridad que sea capaz de reconocer el phishing y evite que nuestros ahorros terminen en manos de los delincuentes.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://blogs.protegerse.com/2021/09/20/nuevo-phishing-de-ibercaja-intenta-robar-las-credenciales-de-la-cuenta-y-los-datos-de-la-tarjeta-de-credito/