A fines del año pasado ya estuvimos tratando en nuestro blog sobre una botnet, denominada Volk, y su propagación por América Latina. En esa ocasión, se explicaba cómo los atacantes utilizaban esta amenaza para realizar el robo de credenciales de acceso de los usuarios para obtener beneficios económicos. Afortunadamente, el sitio en donde se alojaba el panel de control de la botnet fue efectivamente dado de baja, sin embargo hemos encontrado otros lugares en donde esta amenaza se ha estado almacenando y, por lo tanto, generando nuevas campañas para afectar a más usuarios. Luego también hicimos un análisis del código malicioso explicando más detalles de la infección y comunicando los países más afectados de América Latina.
En esta oportunidad, encontramos un caso de phishing utilizando un prestigioso banco de Panamá. En primer lugar, el usuario recibe un correo electrónico que le notifica que su cuenta ha sido congelada por motivos de seguridad. Además de utilizar el logo y el nombre de un prestigioso banco de la región, los atacantes llenan sus falsos correos electrónicos de detalles para asegurarse que las víctimas ni sospechen de su autenticidad y terminen ingresando al enlace cayendo en el engaño. En la imagen anterior, en el mismo mensaje, también se puede observar incluso un consejo de seguridad de parte de la supuesta entidad financiera. A continuación vemos adónde llega el usuario al ingresar al enlace engañoso:
El enlace proporcionado en el correo electrónico, redirecciona a una página, cuya URL claramente no es la que aparece en el enlace. De hecho, si el usuario presta atención, la página a la que ingresará la víctima posee dominio alemán mientras que la amenaza afecta una filial panameña de la entidad financiera. Como si fuera poco, el atacante todavía agrega en el correo electrónico el logo de VeriSign Secured para buscar darle más validez al correo falso.
Una vez ingresado al enlace el usuario se encuentra con una página igual a la del banco, en donde se le pide que ingrese sus credenciales de acceso. Particularmente en este caso, deberá ingresar únicamente el nombre de usuario. Inmediatamente después de iniciar el acceso, se le notifica a la víctima que su nombre de usuario es inválido y es direccionado a una página donde se pide la respuesta a la pregunta secreta y la contraseña personalizada del banco. Finalmente, cuando intenta entrar a su cuenta bancaria, recibe nuevamente un error por parte del sitio engañoso y es redireccionado a la página de inicio oficial del banco. De esta forma, el usuario normalmente tiende a volver a intentar el proceso de login y finalmente accede a su cuenta en el banco en línea. Lamentablemente, muchos no perciben finalmente que fueron sometidos a un engaño ya que el ingreso exitoso al finalizar el proceso los libera mayormente de toda sospecha.
Para estos casos, sugerimos que los usuarios siempre verifiquen la identidad de los correos electrónicos que reciben. Además, es una buena práctica evitar hacer clic en enlaces que aparecen en correos electrónicos, ya que evita la posibilidad que el usuario sea redireccionado. Finalmente, vale aclarar que a pesar de las continuas advertencias acerca de Volk en particular, continuamos viendo que es una amenaza que sigue teniendo protagonismo en la web y que perjudica cada vez a más usuarios. Recomendamos tomar mayor precaución a la hora de entrar a su banco en línea a través del ingreso directo de la URL en el navegador y no de enlaces dudosos.
Raphael Labaca Castro
Especialista de Awareness & Research
