Aunque últimamente estamos hablando en este blog de amenazas más elaboradas que la media a la que estamos acostumbrados, no debemos olvidar aquellas amenazas clásicas que siguen estando presentes y que nos pueden dar más de un susto.
Hoy vamos a analizar un nuevo caso de phishing a una importante entidad bancaria como es el BBVA. Como es habitual, todo empieza con la recepción de un correo electrónico con un aviso de seguridad supuestamente remitido por el banco, en el que se nos ofrece dos enlaces para solucionar la incidencia. No obstante, estos enlaces redirigen a una dirección que poco tiene que ver con la entidad bancaria que está siendo suplantada.
Aún hoy, muchos usuarios no prestan atención a esos detalles de redireccionamiento y solo se fijan en si la página a la que acceden tiene una apariencia similar a la que esperan encontrar. Alguno se fijará en la barra de direcciones del navegador y observará un enlace que parece relacionado con el banco, pero pocos notarán que no se está usando una conexión segura https.
Una vez en esta web, es muy probable que los usuarios que hayan accedido a ella introduzcan su nombre de usuario y contraseña. El siguiente paso que han preparado los ciberdelincuentes es simular un proceso de autentificación cuya primera parada requiere introducir el tipo de documento que usaremos para identificarnos.
En el siguiente paso es donde los ciberdelincuentes obtienen la valiosa información que vienen buscando. No solo se le pide al usuario los datos de su documento de identificación, sino que también han introducido campos para que se rellenen con el número de la tarjeta, el PIN de esta, su CVV y la fecha de expiración.
Con estos datos en manos de los malhechores, es solo cuestión de tiempo que se use esa tarjeta para realizar pagos online o se clone y se use para sacar dinero en cajeros o hacer pagos en diversos establecimientos, siempre a cargo del pobre usuario que ha sido engañado. Como paso final del engaño, los ciberdelincuentes redirigen al usuario a la página web verdadera de la entidad.
Estamos ante un caso más de phishing entre los muchos que se producen todos los días, lo que demuestra que este tipo de engaños aún resultan muy rentables para los ciberdelincuentes. Todavía queda bastante para que el grueso de los usuarios tenga el suficiente conocimiento en seguridad informática como para evitar caer en este tipo de trampas, pero con labores educativas como las que realizamos desde el blog del laboratorio de ESET en Ontinet.com esperamos que esa fecha llegue pronto.
Josep Albors
@JosepAlbors