En el Laboratorio de Investigación de ESET Latinoamérica dimos con una campaña de phishing que se propaga mayormente entre clientes de Visa en Argentina.
Al igual que en la mayoría de los casos de phishing, el engaño comienza cuando el usuario recibe un correo supuestamente proveniente de la entidad de tarjetas de crédito Visa, en el cual se informa que se ha detectado un ingreso sospechoso en el sistema; como consecuencia, se requiere que el usuario ingrese a un enlace y “verifique” su información.
A simple vista, alguien desprevenido podría pensar que este correo efectivamente proviene de Visa, ya que además de contener los logos y el diseño propio de la entidad, la dirección remitente del mensaje pertenece al dominio “@visahome.com“. Sin embargo, el remitente es el primer indicio que indica que se trata de un engaño, ya que el dominio “@visahome.com” no pertenece ni está registrado a nombre de la empresa, sino que es uno que se encuentra a la venta.
Por otro lado, es muy común que los cibercriminales que envían este tipo de correos utilicen técnicas de spoofing para falsificar la dirección de correo y hacer creer a sus víctimas que es legítimo.
El segundo indicio que confirma que se trata de un correo de phishing es la dirección a la que envía el supuesto enlace para solucionar el “problema”. Con solo pasar el mouse sobre el enlace, se puede ver que corresponde a una dirección web que no solo no es segura, es decir, no utiliza el protocolo HTTPS, sino que además ni siquiera pertenece a Visa.
El funcionamiento del engaño
Desde el Laboratorio de ESET investigamos cómo trabajaba este sitio y qué información intentaba obtener de sus víctimas.
Al hacer clic en el enlace, el usuario es dirigido a un sitio que resulta muy similar al oficial de Socios Visa.
En esta primera pantalla, el sitio fraudulento le pide al usuario que ingrese sus datos para iniciar sesión en el portal. Sin embargo, el engaño sigue un paso más.
Luego de ingresar, se abre una nueva ventana que solicita más información, incluyendo datos poco convencionales como el email y su contraseña, dato que jamás sería solicitado por ninguna entidad fidedigna.
Si el usuario completa estos campos, aparece una pantalla que confirma que los datos fueron actualizados con éxito y posteriormente, para evitar mayores sospechas, redirecciona a la página oficial de clientes Visa.
Sin embargo, a esta altura, lo que en realidad sucede detrás de esta pantalla es que el sitio fraudulento está almacenando toda la información ingresada por el usuario. Al analizar un poco más a fondo el tráfico que se genera con esta página, vemos que todos los datos ingresados son enviados en texto plano al sitio del atacante.
Por último, investigando el dominio donde está alojada la página falsa, encontramos que la misma se encuentra registrada en un sitio internacional de venta de dominios online a nombre de una persona con domicilio en Rosario, Argentina.
Esta campaña se ha estado propagando en los últimos días afectando a usuarios principalmente de Argentina, pero no descartamos que pueda llegar también a otros usuarios de Latinoamérica. Si alguien ha sido víctima de este engaño, deberá comunicarse inmediatamente con Visa para informar acerca de su situación.
Así como en este caso detectamos esta campaña, hemos visto anteriormente otras muy similares intentando robar información, por lo que podemos suponer que siguen siendo efectivas a la hora de obtener datos confidenciales de los usuarios.
Por otro lado, utilizando técnicas como spoofing u otras herramientas como la geolocalización o la inclusión de iframes reales para mejorar los diseños, los cibercriminales logran que sus sitios fraudulentos sean cada vez más similares a los reales, engañando con facilidad a usuarios desprevenidos.
Fuente:https://www.welivesecurity.com/la-es/2017/04/21/correo-de-visa-phishing/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
