En variadas oportunidades hemos discutido y analizado distintos casos de phishing que han afectado una amplia gamas de instituciones financieras, aerolíneas, tarjetas de crédito y redes sociales. Sin embargo, el phishing que hemos encontrado hoy, aunque no se diferencia de otros por su objetivo o entidad afectada que es un importante banco de Brasil, sí es distinto y marca una nueva tendencia en este tipo de ataques al ser geolocalizado, es decir, sólo puede ser accedido desde computadoras que estén ubicadas en Brasil (utilizando una dirección IP de ese país) o un servidor proxy de la misma nación. Cualquier acceso que se haga desde otra parte del mundo, es denegado y no se muestra el phishing sino que un error de prohibición.
Para lograr ese objetivo, los cibercriminales emplean una tecnología conocida como geolocalización, técnica mediante la cual detectan el país de origen de la visita para permitir o negar el acceso dependiendo del criterio establecido. En las siguientes capturas se puede apreciar qué sucede cuando se intenta visitar el phishing desde Brasil y después desde cualquier otro país:
A través de la geolocalización, los ciberdelincuentes son capaces de cumplir dos objetivos que de otro modo, sería imposible. En primer lugar, maximizan la posibilidad de obtener rédito económico al asegurarse que sólo las personas pertenecientes al grupo objetivo del ataque (en este caso usuarios brasileños, todas potenciales víctimas) puedan acceder al sitio fraudulento. El motivo tras esta implementación radica en que los usuarios de otros países no representan ningún tipo de ganancia porque aparte de hablar otro idioma, no contarán con una cuenta bancaria brasileña. Sumado a que la información de “extranjeros” no posee validez alguna para este caso, mientras más personas visualicen el fraude, mayor es la posibilidad que el sitio sea dado de baja por un exceso en el consumo de ancho de banda del servidor en el cual está alojado el phishing, o porque alguien lo reporta al área correspondiente para su cierre.
Si la potencial víctima es brasileña y además no toma los recaudos necesarios de prevención como no visitar enlaces sospechosos ni ingresar información confidencial o bancaria, estará accediendo a un phishing que sin considerar la geolocalización, luce bastante normal con respecto a otros. En una primera instancia, se solicitan datos como el número de cuenta y contraseña de ocho dígitos. Luego, una contraseña de tarjeta de seis números y para finalizar, otra de cuatro dígitos. Finalmente se le dice a la víctima que el proceso ha concluido satisfactoriamente y que a partir de ese momento, podrá (de forma irónica) disfrutar de nuevas características de seguridad.
Para evitar ser víctima de este tipo de ataques, se debe recordar siempre que ninguna institución bancaria o similar, solicita información sensible a través de medios como el correo electrónico o redes sociales sin importar el motivo o excusa que se dé a cambio. Por último, mencionar que los cibercriminales están buscando continua y activamente, nuevas ideas y estrategias con el fin de maximizar la cantidad de víctimas y así obtener mayores ganancias ilícitas. Un comportamiento seguro y adecuado permite revertir esa tendencia.
André Goujon
Especialista de Awareness & Research