A la hora de intentar engañar a los usuarios para que descarguen archivos o pulsen sobre enlaces maliciosos, los delincuentes suelen hacerse pasar por empresas y organismos oficiales reconocidos por todos. En los últimos meses hemos visto numerosos ejemplos y también se ha observado como la suplantación de organismos oficiales y ministerios ha aumentado considerablemente.
La multa de la DGT
Una de las plantillas que hemos visto utilizar en casos anteriores, como los detectados durante marzo para propagar troyanos bancarios, ha sido la de la supuesta multa emitida por la Dirección General de Tráfico. Es un correo que suele ser efectivo, puesto que se trata de un organismo reconocido por todos y tampoco es extraño recibir una multa por haber cometido una infracción de tráfico.
En el mensaje podemos observar varios puntos que deberían hacernos sospechar. Para empezar, el remitente no parece tener ninguna relación con la DGT y se utiliza un dominio perteneciente a Alemania. Luego vemos como se nos invita a acceder a la sede electrónica a través de un enlace que tampoco parece tener relación alguna con este organismo, además de indicarnos que solo podremos ver la notificación si utilizamos un sistema Windows.
Cabe destacar que la web a la que se nos redirige dispone de un certificado válido que hace que se muestre el conocido candado, pero que solo asegura que la conexión que realizamos con esa web desde nuestro sistema es segura, no que la página visitada lo sea.
Robo de información
Al acceder al enlace nos encontramos con una plantilla que ya hemos visto con anterioridad y que se corresponde con un correo de phishing que analizamos hace unas semanas y que, en esa ocasión, suplantaba a la Agencia Tributaria. Al acceder a la web usada por los delincuentes vemos como se sigue usando la plantilla que simula ser la sede electrónica usando el gallego como idioma. La elección de esta lengua podría ser un indicativo de la procedencia de este ataque, ya que al tener similitudes con el portugués, es posible que esta campaña de phishing esté relacionada con los delincuentes brasileños que hace meses que tienen a España como uno de sus principales objetivos mediante sucesivas campañas de troyanos bancarios.
Tras solicitar identificarnos con nuestro documento nacional de identidad, el siguiente paso consiste en introducir la dirección de correo electrónico. En este punto vemos como los delincuentes se han molestado (como en el caso analizado hace unas semanas) en utilizar plantillas específicas dependiendo del correo electrónico que introduzcamos en el siguiente paso.
Como vemos, si utilizamos algún servicio de correo electrónico como Gmail, Outlook/Hotmail o Yahoo! (y puede que alguno más), la ventana emergente que aparece solicitando nuestra contraseña estará personalizada. Nótese el detalle de que en la ventana de verificación de Gmail se muestra el aviso indicando que la conexión no es segura, mientras que en el resto no aparece tal alerta.
En cambio, si usamos algún otro servicio de correo electrónico para el cual los delincuentes no hayan establecido una plantilla específica, se nos mostrará una genérica que, igualmente, nos solicitará la contraseña del email.
Además, tras obtener los datos relativos al correo electrónico, los delincuentes solicitan el numero IBAN de nuestra cuenta bancaria. Es curioso observar como, en este punto, la solicitud se realiza en español mientras que algunos de los enlaces mostrados siguen en gallego. Posiblemente se deba a una mala configuración de la plantilla, que no se adapta íntegramente al idioma principal que se está utilizando en ese momento.
Verificación y posibles objetivos
Uno de los detalles que nos llamaron la atención la vez anterior que vimos usar esta plantilla, y que lo vuelve a hacer ahora, es la solicitud que se nos hace para confirmar nuestra identidad. Para ello nos piden que realicemos unas fotografías a nuestro DNI por delante y por detrás y las enviemos subiéndolas mediante la opción que han preparado para tal efecto.
Una vez enviada toda esta información se nos mostrará un mensaje indicando que se ha procedido a enviar toda la información recopilada, y pidiéndonos disculpas por las molestias ocasionadas.
Si revisamos toda la información que un usuario puede llegar a proporcionar si cae en este tipo de engaños, vemos que incluye el DNI (tanto su número como una copia por delante y por detrás del documento), la dirección de correo electrónico y el IBAN correspondiente a nuestra cuenta bancaria. Todos estos datos pueden utilizarse con varias finalidades, siendo la más evidente el envío de spam mediante la cuenta de email robada.
Sin embargo, si tenemos en cuenta que también se ha proporcionado un número de cuenta y una copia del DNI, es posible que otra finalidad de este tipo de ataques sea la solicitud de préstamos no autorizados por la víctima, cuyo dinero sería recogido por los delincuentes y los cargos realizados a la cuenta de la víctima. En esos casos, se tendría que poner esta situación en conocimiento de nuestra entidad bancaria previa denuncia en la Policía o Guardia Civil.
Conclusión
Observamos como la utilización de estas plantillas a la hora de suplantar a organismos oficiales va perfeccionándose con el tiempo, y a pesar de que aún presentan fallos que permiten identificarlas como fraudulentas, el hecho de que ya prácticamente las webs de phishing de este tipo cuenten con certificados válidos junto a otros detalles como los logotipos de las entidades oficiales suplantadas hacen que no pocos usuarios caigan en este tipo de trampas. Para evitarlo debemos revisar con cuidado este tipo de correos supuestamente remitidos desde organismos oficiales, especialmente los puntos que hemos comentado en este artículo.
Indicadores de compromiso
Enlaces asociados:
hxxps://u7983692[.]ct[.]sendgrid[.]net/ls/click
hxxps://www[.]subicbaytravelershotel[.]com/hotel-amenities/
hxxps://imperial-insurance[.]com/.agenciatributaria/agenciatributaria/