Falso sitio suplantaba identidad de institución financiera de Colombia para robar información de clientes

Similar al hallazgo de hace un par de meses en el que detectamos un sitio que buscaba robar información financiera de clientes de una entidad financiera de Colombia, esta semana descubrimos otro servidor que alojaba un falso sitio web que suplantaba la identidad de otro importante banco de dicho país con el objetivo de captar datos personales y de tarjetas de crédito de sus clientes. Si bien al momento de esta publicación el sitio ya fue dado de baja, las campañas de phishing como estas se ven con mucha frecuencia, por lo que analizaremos el engaño con el fin de concientizar a los usuarios acerca de este tipo de engaños y de paso a aprender a reconocer cómo funcionan estas campañas de suplantación de identidad.

Lamentablemente, es muy común el uso de técnicas de ingeniería social por parte de los cibercriminales para engañar a los usuarios y hacerles creer que algo es legítimo cuando en realidad es falso. Por esta razón, es importante mencionar que la entidad financiera no tiene ningún tipo de responsabilidad ni relación con este engaño en el que se utiliza su imagen para llevar adelante un acto malicioso.

Análisis del sitio web falso

Si bien no tenemos una muestra del mensaje que llegaba a la víctima con el enlace a este sitio apócrifo, es probable que sea a través del correo y con un mensaje relacionado a un problema en la cuenta de la potencial víctima, ya que la URL hace clara referencia al bloqueo de productos: desbloqueXXXXX.com. Una vez que el usuario hacía clic era redirigido a la página de inicio de sesión de un sitio con una apariencia igual a la del sitio oficial, invitando al usuario a ingresar para ver de qué se trata el problema.

Como hemos visto en reiteradas oportunidades, este sitio también contaba con certificados SSL, demostrando una vez más que los ciberdelincuentes están implementando esta práctica con gran frecuencia para maximizar su efectividad, ya que el mismo navegador informa que es seguro el servidor y muestra el candado verde cerrado.

Como se puede observar en la Imagen 2, el certificado no había sido emitido a nombre de la entidad real. Este ejemplo demuestra la importancia de comprobar manualmente que se trata de un certificado válido.

En cuanto al dominio utilizado, corroboramos que el mismo fue registrado el 10 de diciembre y utiliza servicios de privacidad de registro, dato también curioso.

Información que buscaban robar

Tras acceder al falso sitio comprobamos qué información intentaban obtener.

Como se aprecia en la imagen, los responsables detrás de esta campaña buscaban obtener la clave para acceder al sistema de banca electrónica.

Luego, buscaban captar datos personales como el correo electrónico, la clave de su cuenta y el número de teléfono.

Una vez que la víctima continuaba el proceso llegaba a una página sobre activación de su tarjeta de crédito y/o débito, lo cual probablemente daba a entender al usuario que el bloqueo está relacionado a sus tarjetas, ya que el mensaje indicaba que debía ingresar los números de sus tarjetas de crédito y/o débito para activarlas.

Llama la atención que para terminar con el engaño el falso sistema informaba a la víctima que los datos ingresados (todos ficticios en los ejemplos que se mostraron) fueron verificados correctamente y que el usuario por seguridad debía volver a iniciar sesión. En este punto, el engaño redirecciona al sitio oficial de la entidad bancaria, con lo que el usuario sin haberse percatado de ningún cambio ingresaría sus credenciales sin mayor problema.

Retomando el tema de la importancia de verificar la legitimidad de los certificados digitales haciendo doble clic sobre el candado, en la Imagen 8 podemos apreciar la información que contiene el certificado del servidor oficial en el cual se aprecia claramente la información de la empresa, tal como corresponde.