SUPLANTAN UN CORREO DE MOVISTAR PARA PROPAGAR UN TROYANO BANCARIO

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Durante las últimas horas hemos visto como se han ido propagando correos electrónicos con una supuesta factura de Movistar. No es extraño que los delincuentes utilicen la suplantación de empresas conocidas como entidades bancarias, tiendas online o incluso agencias estatales.

En este caso, la suplantación es de la conocida operadora de telecomunicaciones Movistar, algo que puede hacer bajar la guardia a los millones de usuarios que son clientes suyos y que hayan recibido un correo como el que procedemos a revisar.

UN CORREO QUE NO ES LO QUE PARECE

Como en todos los casos en los que se utiliza alguna entidad de reputación conocida para propagar malware o robarnos los datos usando técnicas de suplantación de identidad, lo primero que debemos revisar es que el correo proceda de quien dice ser. Esto no se limita a comprobar la dirección del remitente puesto que esta puede ser fácilmente suplantada.

Veamos el correo que se ha estado enviando durante las últimas horas:

movistar

Hay varios puntos que destacar al respecto:

  • El correo está escrito en un correcto castellano, sin faltas de ortografía e incluyendo acentos lo que indica que el que ha lanzado esta campaña la ha orientado a usuarios de habla hispana en lugar de limitarse a traducir una campaña previa en otro idioma.
  • El uso tanto del logotipo de Movistar, un enlace que redirige al apartado de clientes de la web de esa empresa y los datos de contacto han sido utilizados para generar una mayor confianza y que el usuario se piense que está ante un correo legítimo.
  • La dirección de correo del remitente parece estar asociada a un email legítimo perteneciente a la compañía y eso hace que pocos usuarios se planteen la posibilidad de pensar que están ante un correo falso. Sin embargo, si revisamos la cabecera del correo observaremos lo siguiente:

x-mozilla

Tanto el ID del mensaje como la ruta de retorno del mismo no tienen nada que ver con Movistar. Por tanto, podemos decir que la empresa no tiene nada que ver con el envío de estos mensajes ni sus sistemas se han visto comprometidos, como algunos usuarios han llegado a apuntar.

UN TROYANO BANCARIO OCULTO EN UNA FALSA FACTURA

Como siempre, la finalidad de este tipo de correos es conseguir que el usuario ejecute el fichero adjunto o pulse sobre un enlace malicioso. En este caso estaríamos hablando de la primera opción ya que el fichero adjunto se hace pasar por un archivo PDF cuando en realidad se trata de un archivo ejecutable que oculta una desagradable sorpresa.

Si un usuario descarga y ejecuta el fichero habrá infectado su sistema con un troyano bancario de la familia Zbot. Este tipo de troyanos se especializan en robar credenciales de acceso a banca online, contraseñas, números de tarjeta de crédito y códigos PIN. Las soluciones de seguridad de ESET detectan esta amenaza como un troyano Win32/Spy.Zbot.ACF.

smart security

CONCLUSIONES

Ante casos como el que acabamos de analizar resulta crucial activar ciertas pautas que pueden ayudarnos a detectar falsos correos de este tipo y mantener así seguro nuestro sistema. Como ya hemos visto en numerosas ocasiones, revisando las cabeceras de correo podemos averiguar con un elevado porcentaje de aciertos si estamos ante un correo verídico o uno falso.

Si además contamos con una solución de seguridad capaz de detectar estas amenazas a tiempo estaremos aumentando la seguridad de nuestro sistema y evitar poner nuestros datos confidenciales en manos de los delincuentes.

Fuente:http://blogs.protegerse.com/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone