Los casos de phishing se suceden constantemente suplantando a todo tipo de empresas e incluso organismos oficiales. Algunos de ellos se limitan a reutilizar plantillas más o menos convincentes con temáticas genéricas, como una comprobación de la seguridad de nuestra banca online o un paquete pendiente de recibir que requiere de una última revisión. Sin embargo, tal y como vamos a ver a continuación, también hay ocasiones en las que algunos delincuentes se esfuerzan por encima de la media.
Renovación de dominio
Actualmente es bastante común que las empresas y algunos particulares dispongan de un dominio web donde alojar su web corporativa o personal. Estos dominios se contratan a empresas especializadas y han de ser renovados cada cierto tiempo. Los delincuentes son conscientes de ello, y en ocasiones crean campañas para tratar de intentar engañar a usuarios, haciéndoles creer que su dominio está a punto de expirar. Un buen ejemplo de esto es el siguiente correo que recibimos hace unos días, donde se suplanta la identidad de Acens, una compañía de Telefónica que, entre otros servicios, ofrece la posibilidad de registrar dominios.
Con respecto al esfuerzo que han realizado los delincuentes por hacer pasar como legítimo este correo, han usado logos corporativos que pueden hacer más creíble este email. No obstante, hay detalles como la redacción del mensaje que denota que no ha sido redactado por alguien que tenga el español como idioma nativo. Si echamos un vistazo al remitente también comprobaremos que, aunque pretenda identificarse como la empresa suplantada, la dirección de envío real no parece tener relación alguna con ella.
En el caso de que un usuario muerda el anzuelo y pulse sobre el enlace proporcionado pensando que así accederá a la renovación de su dominio, se encontrará con una web donde realizar la transacción a través de una supuesta pasarela segura de pago.
En esta web vemos como se vuelve a utilizar el logo y el nombre de la empresa suplantada, solicitando el pago de únicamente 5 euros en concepto de renovación del dominio e incluyendo un formulario para introducir los datos de la tarjeta de crédito. Cabe destacar que, tal y como viene siendo habitual en los casos de phishing desde hace tiempo, esta web contiene un certificado válido que le otorga el conocido candado verde. Una vez más recordamos que este certificado solo garantiza que la comunicación entre nuestro dispositivo y la web es segura, no que la web lo sea.
Si echamos un vistazo a los detalles de este certificado, veremos que ha sido emitido a través de una entidad certificadora como Let’s Encrypt que proporciona certificados de forma gratuita. Además, la fecha de inicio de la validez de este certificado coincide con la del inicio de la campaña de phishing, por lo que todo apunta a que esta web fraudulenta ha sido preparada por los delincuentes para robar los datos de las tarjetas de crédito de aquellos incautos que los introduzcan.
En caso haber proporcionado estos datos, seremos conducidos a otra web donde se nos solicitará introducir el código de verificación que emite nuestra entidad bancaria para confirmar la operación.
De esta forma, los delincuentes podrán realizar una operación con los datos de la tarjeta robada durante los minutos en los que ese código suele ser válido. La cuantía de la operación dependerá del valor del artículo o servicio que adquieran los delincuentes y del límite que tenga establecido la tarjeta.
Conclusión
A pesar de tratarse de un caso de phishing sin ninguna característica especial, la suplantación de una empresa como Acens y el uso de la renovación de un dominio como gancho no es tan habitual. Por ese motivo es importante repasar con cuidado todos aquellos correos que nos soliciten introducir información confidencial, buscando fallos como una redacción del mensaje con errores, así como incongruencias en la cabecera de los mensajes o en los dominios utilizados, y, ante la duda, acudir a nuestra cuenta de cliente en la web oficial de la empresa en lugar de pulsar sobre el enlace proporcionado en el correo.