El phishing bancario clásico sigue siendo una de las amenazas más recurrentes que los usuarios suelen encontrar en sus buzones de entrada de correo electrónico. Constantemente se ven nuevas campañas que tratan de pillar desprevenidas a sus víctimas, campañas que cada vez están mejor elaboradas y resultan más convincentes.
En este sentido, ESET ha detectado un nuevo caso de phishing a Liberbank, entidad financiera que agrupa a Cajastur, Caja Extremadura y Caja Cantabria. La amenaza sigue acumulando víctimas gracias a las técnicas cada vez más elaboradas utilizadas por los ciberdelincuentes.
Índice de temas
Un correo haciéndose pasar por Liberbank
Uno de los puntos clave que suele determinar si una campaña de phishing bancario resulta exitosa es el correo utilizado por los delincuentes para tratar de engañar al usuario haciéndose pasar por una reconocida entidad bancaria. En los últimos años se ha visto como estos correos se han ido perfeccionando, resultando cada vez más difíciles de distinguir de los legítimos, aunque aún podemos fijarnos en varios detalles para tratar de reconocerlos.
En el ejemplo puesto por ESET, se puede observar cómo los delincuentes han usado el logo de la entidad bancaria y un escueto mensaje sin faltas de ortografía donde se indica un problema de seguridad en la cuenta y se invita a los clientes a pulsar sobre un enlace para volver a activarla.
Un aspecto clave a tener en cuenta a la hora de recibir este tipo de mensajes es que las entidades bancarias no suelen enviar este tipo de correos cuando se produce algún incidente de seguridad relacionado con la cuenta bancaria, por lo que este sería el primer punto a tener en cuenta para detectar posibles emails fraudulentos. También dicen que es imprescindible fijarse en el remitente y comprobar cómo la dirección que aparece no tiene relación alguna con la entidad suplantada. Sin embargo, no siempre es así y ya son varios los casos analizados en los que los delincuentes utilizan una dirección de correo muy similar o incluso idéntica a la de la entidad bancaria. Por ello, la compañía advierte que revisar la dirección URL antes de pulsar sobre cualquier enlace proporcionado en un correo electrónico, mensaje SMS o servicio de mensajería instantánea es primordial para no terminar en una web maliciosa.
Suplantación de la web
En el caso del phishing a Liberbank, los delincuentes se han molestado en registrar un dominio similar al legítimo que utiliza la entidad bancaria suplantada. En otras ocasiones se ve como se aprovechan dominios pertenecientes a páginas web que han sido previamente comprometidas por los atacantes y eso es un claro indicativo de que estamos en una web fraudulenta.
Por otro lado, algo en lo que han estado trabajando desde hace tiempo los delincuentes es que el diseño de las webs que utilizan para suplantar a las entidades bancarias parezca lo más creíble posible. Curiosamente, algunos grupos de criminales optan por un diseño minimalista donde solo se muestran los logos de la entidad bancaria suplantada y los campos que el usuario debe rellenar, acompañados de algunos enlaces de información que no apuntan a ningún sitio.
En esta web a la que se accede tras pulsar sobre el enlace proporcionado en el correo se puede ver como se solicitan las credenciales de acceso a la banca online. De esta forma, los delincuentes pueden acceder a la cuenta bancaria de la víctima y comprobar cuánto saldo tiene disponible. También se puede observar el dominio utilizado, el cual ha sido registrado hace pocos días, por lo que se puede deducir que esta ha sido una de las primeras campañas en las que se ha utilizado.
Sin embargo, a estos delincuentes no les basta con robar las credenciales de acceso a la banca online y en el siguiente paso solicitan los datos de la tarjeta de crédito, incluyendo su número, fecha de caducidad, CVV y PIN. Con esta información pueden realizar compras con cargos a esta tarjeta o duplicarla y retirar dinero de un cajero automático.
A pesar de contar con las credenciales de acceso a la banca online, los delincuentes no pueden realizar transferencias a cuentas controladas por ellos o sus muleros debido a las medidas que se implementaron hace años en la banca online. Es por eso por lo que, en el último paso, se ve como se solicita un código de confirmación enviado por SMS que las entidades bancarias suelen enviar cuando se quiere realizar una transferencia bancaria o se realiza un pago online con la tarjeta de crédito.
De esta forma, los criminales se aseguran de que, de un modo u otro, consiguen robar dinero de las víctimas que pulsan sobre el enlace que envían por email y rellenan los campos solicitados por ellos.
