Hace unos días informábamos en este mismo blog de una nueva técnica utilizada por los creadores de malware para saltarse la protección por listas negras de los navegadores Mozilla Firefox y Google Chrome. Hoy os mostramos un ataque de phishing a los usuarios de Caja Madrid utilizando esta técnica.
El engaño empieza con un correo electrónico con asunto Fwd: Directiva Europea sobre servicios de pago. En el cuerpo del mensaje se muestra el siguiente mensaje:
|
“Estimado cliente, Copyright © Caja Madrid. 2001 a 2011. España.” |
Adjunto a este mensaje encontramos un archivo llamado El acceso a servicio de Oficina Internet.html. Al ejecutarlo nos aparece la siguiente ventana en nuestro navegador de Internet
Las diferencias con la página original de acceso online de Caja Madrid no van más allá de algunos problemas en la visualización de los caracteres con acentos, por lo demás, es exacta a la original. Al ejecutar un html adjunto, este no es detectado por las listas negras de los navegadores, por lo que se muestra correctamente en nuestro navegador, como si fuera la página original de Caja Madrid.
Al introducir los campos que nos piden y pulsar en el botón aceptar, internamente nos redirige a un servidor web alojado en un host vulnerado, el cual guarda los datos proporcionados en su base de datos y finalmente nos redirige al acceso online real de Caja Madrid, para que el usuario simplemente crea que el registro anterior no ha funcionado.
Desde el departamento técnico de ESET en Ontinet.com, les aconsejamos que antes de proceder a rellenar los datos o ejecutar los archivos adjuntos que se nos indican en este tipo de correos electrónicos, consulten con su banco sobre lo recibido.
David Sánchez