“Cancelar la transacción”: caso de phishing a clientes del Banco Santander

A pesar de que los delincuentes han encontrado un filón para hacerse con el dinero guardado en las cuentas bancarias de sus víctimas con la propagación de numerosos troyanos bancarios para dispositivos Android, el phishing tradicional sigue existiendo a la espera de conseguir nuevas víctimas. En el caso que vamos a analizar hoy vemos como los delincuentes se hacen pasar por un conocido banco para tratar de averiguar no solo las credenciales de acceso de la víctima sino también intentar saltarse las medidas de seguridad implementadas.

Suplantación de la entidad

Este caso de phishing utiliza un vector de ataque tradicional como es el correo electrónico, suplantando al Banco Santander e indicando al receptor del email que se procederá a aprobar un pago realizado a una tienda en el extranjero si no se cancela la transacción accediendo al enlace proporcionado.

Hay varios elementos que nos pueden ayudar a detectar que estamos ante un correo fraudulento, comenzando por el remitente del mismo. Si nos fijamos vemos que la dirección de correo no tiene nada que ver con la entidad suplantada, claro indicador de que estamos ante algo sospechoso. El correo parece estar bien redactado y puede llegar a ser bastante convincente si realmente somos usuarios de esta entidad bancaria pero al llegar al enlace proporcionado y fijarnos en a dónde redirige vemos que no coincide la URL con nada relacionado con este banco.

De hecho, si accedemos al enlace proporcionado veremos que la suplantación de la web de acceso a particulares, puede llegar a confundir a más de un usuario despistado, si bien su diseño es diferente a la web legítima del banco.

En esta web podemos ver que se nos solicitan datos como los del documento de identificación y la clave de acceso, datos que suelen utilizarse para acceder a la cuenta bancaria. Sin embargo, si nos fijamos en la dirección que aparece en la barra del navegador veremos como la URL no tiene nada que ver con el Banco Santander y que, por mucho que esta web tenga un candado indicando que la conexión entre nuestro dispositivo y esa web es segura, esto no significa que la web a la que estamos accediendo lo sea.

Evitando las medidas de seguridad

Hace años, cuando los delincuentes obtenían las credenciales de acceso a la banca online podían realizar transferencias a cuentas controladas por ellos sin ningún tipo de restricción. Por suerte eso cambió y, dependiendo de la entidad, ahora existen varios procedimientos que tratan de verificar la identidad del usuario antes de proceder a autorizar la realización de transferencias de dinero.

Los delincuentes son conscientes de ello y tratan de adaptarse a esta situación, como en este caso donde preguntan directamente al usuario por su firma electrónica (una palabra o combinación de caracteres que algunas entidades solicitan a los usuarios), además de por el pin de seguridad que se suele enviar mediante mensaje SMS al teléfono de la víctima para autorizar cualquier operación que implique movimiento de dinero.

Tal y como podemos comprobar, esta información simplemente es solicitada por los delincuentes que están detrás de este caso de phishing para obtenerla directamente del usuario. Sin embargo, aquellos usuarios más precavidos se habrán fijado en el campo que solicita introducir el número de teléfono móvil para poder enviar el SMS con el código de confirmación por SMS.

Este número no es solicitado en la web legítima porque el banco ya dispone de él para poder realizar este envío, pero los delincuentes no lo conocen y por eso se lo piden a la víctima para, cuando estén tratando de realizar la transferencia de dinero a una cuenta controlada por ellos, la entidad envíe el código a la víctima y esta lo introduzca en la siguiente pantalla.

De esta forma, los delincuentes podrán confirmar la transferencia y robar la cantidad deseada de la cuenta de la víctima, la cual no sospechará nada hasta que compruebe sus saldo o reciba un aviso de su entidad bancaria. Tras solicitar todos estos datos, los delincuentes redirigen a la víctima a una web legítima del Banco Santander para que esta no sospeche de lo que acaba de suceder.

Conclusión

Este tipo de phishing sigue presente porque, para los delincuentes resulta sencillo de realizar y los usuarios que caen en la trampa son bastantes, tanto como para ver este tipo de campañas cada cierto tiempo, aunque muchas de las operaciones bancarias (y las amenazas derivadas) se hayan trasladado al entorno de los smartphones. Por ese motivo conviene estar informado en materia de ciberseguridad y contar con una solución capaz de detectar y neutralizar estas y otras amenazas.

Josep Albors

“Factura electrónica” El troyano bancario Mekotio regresa reutilizando un plantilla de correo reciente