A pesar de ser un tema muy reiterado, los famosos ataques de phishing continúan siendo muy efectivos a la hora de obtener información de los usuarios descuidados. Estas técnicas de ataque, consisten en duplicar el sitio web original de la entidad bancaria donde acceden las victimas, creyendo que ingresan al sitio real y sin darse cuenta entregan sus datos al atacante. Hay distintos métodos para que una víctima logre ser engañada, mediante técnicas de Ingeniería Social. El siguiente caso de phishing, se encuentra enfocado para usuarios de una entidad bancaria de Brasil, este caso fue reportado por un usuario a nuestros Laboratorios.

El ataque comienza con la llegada de un correo al usuario. A este se le informa en el asunto sobre una supuesta actualización de un modulo de seguridad del banco. En el correo también se observa un enlace, el cual llevará a la victima a otro sitio:

Una vez que la víctima ingresa al sitio, automáticamente mediante una aplicación desarrollada en Flash, se le indica que ingrese los datos de su cuenta bancaria, CPF (Cadastro de Persona Física) y sucursal:


Todos los datos recolectados por esta aplicación son enviados a otro formulario, tal como se puede ver en el decompilador de Flash que utilizamos para analizar la aplicación:

Si se analiza el sitio web  donde están alojados los archivos de phishing, se puede observar desde un backdoor utilizado para controlar dicho sitio, hasta archivos para montar un scam para robo de sesiones del mensajero instantáneo Messenger:

Es importante que los usuarios estén atentos de no brindar ningún tipo de información personal, ya que los bancos nunca van a realizarlo mediante esta modalidad. Mantener buenas prácticas para la navegación en Internet y contar con una solución con capacidad proactiva, como ESET NOD32 Antivirus, puede prevenir muchos de estos los ataques tan habituales que se observan diariamente.

Como un consejo extra, en la mayoría de los sitios en los que se nos solicita información sensible, como home banking, pago de servicios en línea, compra de productos, entre otros; se puede observar en la barra de direcciónes que la dirección URL comienza con HTTPS (Hyper Text Transfer Protocol Secure), indicando que la transmisión de datos está siendo cifrada.

Claudio Cortés Cid
Especialista de Awareness & Research