A lo largo de muchos años, especialistas en seguridad alertamos y luchamos contra este tipo de estafa. Desde la creación de equipos específicos enfocados en desactivar sitios de phishing, hasta la incorporación de módulos concretos para su detección en las soluciones de seguridad actuales y la concientización de la comunidad de usuarios.
Pero surgen dos preguntas: ¿cuál es la razón por la que sigue vigente y cómo detectar una trampa? Veamos algunas de las razones analizando una campaña actual.
cuanta más gente utilice los servicios falsificados, es mayor la probabilidad de que haya víctimas
Mercado Libre es el portal de compras y ventas en línea más importante de Argentina y también es muy popular en varios otros países de Latinoamérica. Ha logrado entrar entre las 100 empresas tecnológicas más importantes del mundo; en sus millones de operaciones, los medios de pago más utilizados son Mercado Pago y las tarjetas de crédito.
Es importante entender que cuanto más atractivo y natural sea un correo de phishing, mayor será la probabilidad de que sus víctimas caigan en la trampa. Para complementar esta regla, cuanto más sea la gente que utilice los servicios que los ciberlincuentes han falsificado, es mayor la probabilidad de encontrar usuarios desprotegidos o distraídos que caigan.
En los últimos días estuvo circulando un correo de phishing bastante singular, que justamente explota todos los elementos del párrafo anterior. Seguramente sabes que, para un mejor control, una de las medidas de seguridad que han aplicado las entidades financieras es el envío de correos cuando se realiza una compra extraña o que supera una determinada suma de dinero. Así, en caso de fraude, los clientes podrán advertirlo rápidamente.
Justamente esa medida es la que emulan los estafadores en este caso, acompañándola con una buena dosis de ingeniería social con el envío de este correo:
Insertando un enlace que contiene un direccionamiento a un sitio apócrifo, inducen al usuario a hacer clic con el fin de desconocer la supuesta compra. De esta forma, se hacen pasar por una de esas alertas legítimas que los bancos emiten periódicamente.
Al observar el cuerpo del mensaje, algo que se ve con frecuencia es que llega con un nombre genérico, en este caso “Estimado usuario”. Este sería el primer indicio de que se trata de un correo falso.
Por supuesto, el mensaje parece bastante creíble y en este caso refiere a una compra de $1950 (pesos argentinos) desde una dirección IP no habitual. En segunda instancia, el sitio a donde el usuario es redirigido está oculto en el enlace, siendo distinto al que se ve a simple vista.
Por último, podemos notar la ausencia de un certificado de seguridad que permita ver quién fue la entidad emisora.
Dos buenas formas de detectar un phishing
A propósito de esto último, los navegadores más populares te pemiten verificar fácilmente si el sitio al que accediste cuenta con un certificado legítimo emitido a la entidad que corresponda. Es decir, si, por ejemplo, haces clic en un enlace y crees que accediste al sitio de Visa, deberías ir a ver su certificado para comprobar que fue emitido a nombre de Visa.
Así es como puedes comprobarlo en Mozilla Firefox, simplemente haciendo clic en el candado verde:
Para el caso de Internet Explorer, el método es parecido:
Si utilizas Google Chrome en sus últimas versiones, lamentablemente el proceso no es tan intuitivo, pero a través de la siguiente imagen podrás ver cómo hacerlo. Estando en el sitio sospechoso deberás utilizar la función de inspeccionar el elemento (CTRL+Mayus+I). Luego, ir a la opción de Security (Seguridad) y hacer clic en View certificate (ver certificado). De este modo podrás ver claramente si se trata del sitio oficial:
Para finalizar, si aún no te convences de si estas en un sitio apócrifo o no, puedes ingresar datos falsos y ver cuál es el compartimiento de la página. En caso de que no sea el sitio original, tomará como válidos los datos incorrectos. Después de todo, no es un servicio en el que realmente te hayas registrado y no tiene una base con la que validar tu identidad; solo está tratando de pescar cualquier dato que ingreses.
Así, podrás pasar de pantalla y seguramente ingresar más datos. En cambio, si estás en el portal oficial, al ingresar datos falsos se generará un error de validación.
¿Cuáles son los datos que le interesan al estafador y por qué?
Al seguir adelante con esta campaña, vemos que cuando el usuario hace clic en el enlace es redireccionado a un sitio que parecería ser el de Visa, aunque en realidad no lo es, como lo vemos destacado en la siguiente imagen:
En primera instancia, se robarán los datos de número de documento y contraseña. Sin embargo, a lo largo de los años, cada día la cantidad de información solicitada tiende a ser mayor. Veamos todos los datos que la víctima deberá completar en la siguiente pantalla:
Nombre y apellido, dirección, documento, contraseña, correo y su contraseña, número de tarjeta con su fecha de expiración y código de seguridad... Es casi una exageración la cantidad de datos, pero como las entidades financieras realmente reforzaron sus medidas de seguridad, esa información es requerida para eludir los obstáculos y poder generar fraudes.
Por otra parte, esta información en muchos casos es utilizada para perpetuar otros tipos de fraudes como el robo de identidad o diversas estafas. En resumen, los ciberdelincuentes intentarán obtener la mayor cantidad de información posible, principalmente con el fin de obtener un redito económico a través de ella.
La historia sin fin
Al observar el código podemos visualizar cómo los diseñadores dejan comentarios acerca del comportamiento y funcionamiento de la página. Una de las razones está vinculada a los continuos cambios que sufren este tipo de plantillas, a raíz de los nuevos obstáculos implantados por los especialistas de seguridad.
De modo proactivo, se dejan comentarios con el fin de poder identificar y modificar rápidamente el código, como vemos en este ejemplo:
Esta imagen demuestra que, lamentablemente, esta práctica fraudulenta seguirá viéndose durante un tiempo más, ya que los ciberdelincuentes siguen actualizando sus técnicas.
Sin lugar a dudas, sin víctimas no habría más incidentes de phishing. El modo más sencillo de llegar a ese punto es la educación o concientización respecto a estas amenazas y, por supuesto, el uso de soluciones de seguridad.
En nuestra infografía sobre falsificación podrás ver las señales que indican que un correo o un sitio es falso.