En épocas en donde las billeteras electrónicas están expandiéndose a diario, principalmente por las ventajas que representan para pagar compras en línea y quizá aprovechando algunos descuentos o promociones de tarjetas de crédito, no debe sorprender que los ciberdelincuentes utilicen técnicas de phishing para intentar generar transacciones fraudulentas en estos portales.

En varias ocasiones hemos escrito sobre este tipo estafa, que ha atacado a entidades financieras como MasterCard o VISA. En este caso, la Ingeniería Social es utilizada para robar cuentas de Mercado Libre y Mercado pago. Analicemos la campaña.

El señuelo

Un correo suele ser el primer paso de estas estafas; en general comienza dirigido a un nombre genérico, con un origen desconocido y un enlace escondido, aunque hemos visto casos donde se personalizan estos aspectos para dar una apariencia más legítima. Estas suelen ser las primeras pistas de este tipo de estafa, que permiten identificarlas.

En esta campaña, los ciberdelincuentes utilizaron el clásico mensaje de suspensión de la cuenta, justificándose en la detección de un comportamiento irregular. La falsa reactivación se realiza a través de un enlace de contacto que redirecciona a la víctima al sitio apócrifo:

phishing mercado libre

El fraude en sí

Al ingresar al enlace que se encuentra en el cuerpo del correo, la víctima es redirigida a un sitio que curiosamente contiene un protocolo seguro como es HTTPS; sin embargo vemos con la siguiente imagen cómo el navegador indica (luego de sucesivas denuncias de distintos usuarios) que hay un problema de seguridad:

sitio peligroso

En caso de que la víctima haya ingresado al sitio fraudulento, verá una interfaz (front-end) muy similar al de la empresa afectada, inclusive si lo hace a través de un smartphone o tablet, como vemos en la siguiente captura:

mercado libre

Detrás de escena

Al visualizar el código fuente con el fin de analizar de qué manera es enviada la información, notamos que se encuentra ofuscado:

codigo ofuscado

Sin embargo, de una manera sencilla decodificando esta línea, podemos ver el código fuente de una manera más clara:

codigo fuente

Como se ve en la captura anterior, además de la estructura notamos que existe un segundo sitio en donde se alojan varios recursos del phishing. Al analizarlo vemos todos los recursos que comparte:

recursos phishing

Este comportamiento, es decir, el almacenar imágenes en servidores externos y no utilizar directamente los recursos del servidor original, es bastante utilizado por los ciberdelincuentes con el fin de no despertar alertas de referer o hot link.

En cuanto a interrogantes referidas a la forma en que viajan las credenciales robadas a manos del atacante podemos ver que se utiliza el método POST y un log.php con tal fin, como vemos a continuación:

log php

Conclusión

Este tipo de técnica, aunque es antigua, sigue siendo funcional y una de las principales preocupaciones que afecta tanto a empresas como usuarios hogareños. Sin lugar a dudas, un segundo factor de autenticación, educación a los usuarios y soluciones de seguridad que bloqueen proactivamente este tipo de estafas serán necesarios para que finalmente no cosechen más víctimas o usuarios desprevenidos que pasen por alto los peligros de ingresar en un enlace engañoso.

Sigue leyendo: 6 claves para reconocer correos de phishing