Los casos de phishing siguen produciéndose de forma habitual entre usuarios de bancos españoles, a pesar de que los troyanos bancarios hayan aumentado su actividad en nuestro país. Son varios los casos de phishing bancario que hemos analizado durante los últimos meses, y este de Cajamar detectado recientemente viene a aumentar ese listado.
Correo de Cajamar
A la hora de elegir una entidad a la que suplantar, los delincuentes suelen optar por un banco grande que tenga muchos clientes, pero tampoco es extraño ver campañas de phishing dirigidas a entidades más pequeñas o incluso regionales y que solo operan en ciertas partes de España.
El caso de phishing de hoy está dirigido a clientes de Cajamar, entidad surtida de la unión de varias cajas rurales de diferentes regiones de España. En el correo enviado por los delincuentes vemos como han utilizado el logotipo de la entidad para tratar de resultar más convincente.
Si revisamos el correo, podemos ver varios puntos que nos pueden hacer sospechar que nos encontramos ante un correo fraudulento, como es el caso. Para empezar, en el campo del remitente vemos como, a pesar de incluirse el nombre del remitente, el dominio del correo utilizado (bellaliant.net) no tiene nada que ver con la entidad bancaria.
Además, la redacción del mensaje es extraña a simple vista, como si hubiera sido realizada por un sistema de traducción automática o alguien que no domine el idioma. Si bien este ha sido durante años un signo característico de las campañas de phishing, en los últimos años hemos visto como los delincuentes han ido mejorando tanto los mensajes como la gramática de los mismos. Por suerte, este no es el caso.
Un detalle interesante de este correo que ya hemos visto en algún correo anterior es que se incluye un fichero adjunto con información acerca de la entidad bancaria suplantada. En este caso, la información incluida se refiere a los estatutos sociales del banco, tal vez con la intención de hacer más creíble el correo, ya que la redacción del cuerpo del mensaje deja mucho que desear.
Análisis de la web fraudulenta
En el caso de que alguno de los usuarios que reciban este correo pulsen sobre el enlace proporcionado en el correo, será redirigido a una web que simula ser la de Cajamar. A pesar de que a primera vista puede pasar por una web legítima, si nos fijamos en ciertos detalles podremos evitar caer en la trampa.
El primer punto en el que debemos fijarnos es la dirección de la URL a la que hemos accedido. Por mucho que la web nos parezca convincente e incluya un certificado de seguridad que proporciona el conocido candado (garantizando que la comunicación entre nuestro dispositivo y la web es segura, pero no que la web lo sea), si revisamos el dominio usado para alojarla veremos que no tiene nada que ver con la entidad suplantada.
De hecho, en esta ocasión los delincuentes no se han molestado siquiera en tratar de registrar un dominio que sea similar al nombre del banco suplantado. Tan solo han aprovechado un blog en WordPress con una versión vulnerable de este popular gestor de contenidos para comprometerlo y ubicar ahí la web fraudulenta.
En el caso de que algún usuario introduzca su código de usuario y la contraseña, será dirigido a una nueva página donde se le pedirán todos los detalles de su tarjeta de crédito, incluyendo el número, la fecha de caducidad, el código de seguridad CVV y el código PIN de la tarjeta.
Con estos datos, los delincuentes pueden clonar la tarjeta para robar efectivo de los cajeros automáticos o realizar compras por Internet a cargo de la víctima. Sin embargo, para poder confirmar estos pagos online es necesario introducir un código que normalmente se envía mediante un mensaje SMS. Es por ese motivo que, en el siguiente paso, los delincuentes solicitan dicho código.
De esta forma, se aseguran de que pueden realizar el pago online, cargando los costes a la tarjeta de la víctima. Por ese motivo es importante que, tan pronto como la víctima se dé cuenta, denuncie este hecho a su entidad bancaria o emisora de la tarjeta de crédito, para que se puedan iniciar las investigaciones correspondientes y se pueda intentar recuperar el dinero robado.
Conclusión
Los casos de phishing siguen produciéndose porque siguen teniendo éxito y consiguiendo nuevas víctimas. Para los delincuentes, generar este tipo de campañas resulta sencillo, y aunque el número de víctimas no sea elevado les reporta los suficientes beneficios como para seguir preparando nuevas campañas cada poco tiempo. Por ese motivo debemos aprender a reconocer este tipo de correos y webs fraudulentas y contar con una solución de seguridad que nos ayude a detectar casos de phishing y otras amenazas.