Los ataques de phishing ya son parte del escenario habitual de estafas informáticas, y la razón es sencilla: más allá de la poca creatividad de los atacantes, las víctimas quieren creer en las promesas de los atacantes, que ofrecen desde viajes para ver el Mundial Brasil 2014 de la FIFA hasta autos nuevos, dinero en efectivo o diversos tipos de premios.
Ya hemos publicado varios posts e incluso una infografía sobre cómo funciona el phishing, además de una guía para identificar correos falsos.
En esta ocasión mostraremos un ataque real que puede ser visto prácticamente todos los días por usuarios de correo electrónico. Haremos énfasis en los puntos en los que el usuario debe prestar atención, los errores clásicos de los atacantes que nos permiten detectar el ataque, y daremos consejos para evitar los mismos.
En la siguiente imagen, podemos ver un correo electrónico destinado a usuarios de Brasil, supuestamente enviado por una conocida tarjeta de crédito:
El “concurso” regala a los ganadores 10 premios en 90 días, desde sumas en efectivo hasta notebooks y un auto; lo único que la víctima tiene que hacer es registrarse.
Lo primero que hicimos al recibir el correo fue ir a la página oficial de la empresa y ver si de hecho existe el programa. Como sospechábamos, no existe. El próximo paso fue buscarlo en la web por su nombre, “Show de Premios”, pero tampoco lo encontramos.
Desde ese momento ya podemos concluir que no debemos hacer clic en “continuar”, ya que no se trata de una oferta legítima, y que además lo mejor sería borrar el correo electrónico.
Pero es nuestra misión como expertos en seguridad explicar por qué no se debe seguir, así que vayamos a la próxima captura de pantalla:
Podemos observar que el atacante dejó muchos indicios de que no se trata de una página legítima:
- La URL de la página no corresponde con la dirección de la supuesta tarjeta de crédito
- La página indica que es segura, pero no vemos el candado junto a la URL indicando que se trata de una conexión segura (no comienza con https: //).
Luego, este sigue con lo que solemos ver en otros casos de ataques de phishing: la página pide detalles de la tarjeta de crédito. Si todavía dudábamos de la legitimidad del sitio, aquí se disipan todas las dudas, como podemos ver a continuación:
Podemos ver algunos detalles sospechosos en la captura:
- El sitio mezcla dos empresas distintas de tarjetas de crédito
- La dirección web no corresponde a la dirección del sitio de la tarjeta de crédito
- Ninguna institución legítima pide datos bancarios para poder participar de un concurso
En nuestra captura de tráfico, se nota que los datos de la víctima son enviados en texto plano, es decir, no están cifrados. Eso refuerza lo que ya habíamos mencionado, de que no se trata de una conexión segura (algo que el atacante trataba de sugerir en la imagen número 2). Veámoslo a continuación:
Las flechas rojas muestran que una persona analizando el tráfico puede ver los datos de la víctima que son enviados al atacante, y que claramente los mismos no están cifrados.
Finalmente, vemos que esa última captura indica que se ha logrado registrar nuestros datos y ahora participamos del concurso. Por desgracia, el único ganador en este caso es el atacante:
Desde el Laboratorio de Investigación de ESET Latinoamérica, dejamos algunos consejos simples que ofrecerán más seguridad en el momento de hacer clic en correos sospechosos:
- Verificar siempre la legitimidad del correo, a través del contacto con la entidad.
- Nunca hacer clic en los enlaces que vienen incluidos en los correos que solicitan información.
- Verificar la seguridad del sitio y observar si este utiliza el protocolo de seguridad https (aunque esto no es sinónimo de garantía total de seguridad) como así también si utiliza un certificado digital válido.