Desde el Laboratorio de Investigación de ESET Latinoamérica hemos sido testigos de una nueva campaña de propagación de phishing, que tomó la identidad de una de las más grandes entidades del mundo en tarjetas de crédito: Visa.

Entendiendo la visión del estafador

Es justo pensar que en los últimos años, la idea de los pagos digitales o a través de Internet se ha vuelto un proceso bastante cotidiano. Solo en Europa, esta entidad ha emitido 282 millones de tarjetas. De este modo y sumando a todos los usuarios de Latinoamérica, es innegable que para los ciberdelincuentes estas cifras se presentan como una posibilidad de conseguir un gran número de usuarios desprevenidos o víctimas.

Y para ello, se valen de estafas como esta, que a pesar de usar técnicas que ya tienen décadas, lamentablemente siguen siendo funcionales.

El inicio del engaño

Siendo el canal de propagación de phishing por excelencia, el correo electrónico es por donde recibimos este engaño. Así luce el mensaje que llega a la bandeja de entrada de la potencial víctima:

visa-estafa

Podemos destacar varias curiosidades que se ven habitualmente y que servirán para que no te conviertas en una víctima:

  • El origen del correo

Este es comúnmente falsificado, pero en este caso, parece que el ciberdelincuente pasó por alto este proceso. Como podemos ver en la captura anterior, el nombre del emisor es “VISA WEB CENTER” aunque la dirección de su correo es “info@speedy.com”, lo cual carecería de sentido si fuera un correo oficial. Sobre todo si consideramos que Speedy es un proveedor de Internet perteneciente a Telefónica en algunos países de Latinoamérica. Algunos, afortunadamente, habrán notado fácilmente lo raro que resulta esto.

En este punto, podemos sospechar que usando un dominio de Speedy y escribiendo el correo en español, los cibercriminales tenían en la mira a usuarios de nuestra región.

  • Asunto

El asuntoSu cuenta se encuentra bloqueada” entra sin duda alguna en el podio de los más utilizados en la campañas de phishing de entidades financieras. El encabezado despersonalizado “Estimado usuario” es la segunda señal de que algo está mal, ya que no está dirigido al cliente en particular.

A esta altura, sería bueno que cualquier usuario dudara de la veracidad del correo.

En la siguiente imagen podremos observar y analizar la segunda parte del mensaje:

visa-home

  • Enlaces engañosos

Al situar el cursor sobre el enlace sugerido, se puede notar que no coinciden la dirección a la cual parecería dirigir y aquella a donde realmente redirecciona. Este truco de Ingeniería Social se utiliza desde hace más de 15 años en la mayoría de correos maliciosos, con URL falsas que esconden el engaño.

  • Errores ortográficos

Como es común, los ciberdelincuentes parecen no tomar en cuenta las reglas de escritura, olvidándose de algunos detalles como tildes en varias palabras que marcamos arriba.

Cuesta creer que una entidad confiable como Visa fuera a enviar correos mal escritos.

El robo en sí mismo

La siguiente etapa comienza cuando la víctima hace clic sobre el enlace malicioso, a partir del cual es redirigido a un sitio fraudulento creado con el único fin de robar credenciales financieras o datos de tarjetas de crédito. Puedes verlo en la siguiente imagen:

visa-sitio-el-salvador

Habrás notado que en este sitio existen algunos campos más de lo cotidiano, y son estos justamente los que más les interesan a los delincuentes, como domicilio, fecha de expiración y código de seguridad de la tarjeta.

Al observar el dominio del sitio fraudulento llama mucho la atención que sea un sitio gubernamental de la República de El Salvador; normalmente este tipo de sitios son vulnerados y utilizados para hacer los clásicos defacement o actos de hacktivismo, pero en este caso, el fin fue otro.

Utilizando su buena reputación en los navegadores, este sitio fue corrompido y utilizado para hospedar la estafa de phishing que ves en la imagen anterior. De todas formas, y por fortuna, la campaña fue dada de baja.

Cuando analizamos el código fuente, podemos observar que muchas imágenes y recursos del sitio falso están siendo cargadas desde el sitio real de Visa, con la idea de generar menos tráfico en el servidor vulnerado y aumentar la velocidad de carga. Pero por otra parte, este tipo de comportamiento podría alertar a las entidades afectadas si tuvieran alertas proactivas de phishing.

sitio-visa

Si la victima carga todos los datos, estos son robados y enviados al ciberdelincuente. De manera simultánea, el cliente es redirigido al sitio real de la entidad. La razón de este comportamiento es tratar de enmascarar la trampa, ya que cuando la víctima ingrese nuevamente sus credenciales en el sitio verdadero, podrá ingresar sin mayores problemas al sistema y olvidará el correo inicial de la trampa, quizá pensando que en la primera vez solucionó el inconveniente o que quizá había ingresado mal sus datos.

El sitio real de la entidad afectada siempre tendrá un certificado de seguridad, el cual podrás notar fácilmente como en la siguiente imagen:

https-visa

Este y otros tipos de phishing requieren que tengas siempre las mismas precauciones para no caer en la trampa y saber detectar correos falsos.

Por su parte, para solucionar estos incidentes las entidades cuentan con un equipo de especialistas en seguridad, que se encargan de desactivar mayormente en cuestión de horas este tipo de amenazas.

En cuanto a ti, puedes prevenirte con educación y una buena solución de seguridad, la cual te alertará si has estado desprevenido. Aun así, si eres víctima de esta estafa o has recibido este tipo de correo deberás ponerte en contacto de manera urgente con la entidad involucrada con el fin de mitigar el impacto del fraude.

Te recomiendo que te hagas algunas preguntas antes de hacer clic en correos similares al que describimos, para determinar si es un correo confiable o si responde a alguno de los comportamientos que mencionamos. ¡No te conviertas en la próxima víctima de esta estafa!

Sigue leyendo: 6 claves para reconocer correos de phishing