Nuevo caso de phishing dirigido a clientes de La Caixa

lacaixa9b

Las entidades bancarias siguen siendo uno de los objetivos preferidos por los delincuentes a la hora de intentar engañar a los usuarios con webs de phishing. Prácticamente todas las semanas recibimos en nuestro laboratorio varias muestras que afectan a entidades de todo tipo, nacionales e internacionales.

Analizando el email con el phishing

Como suele ser habitual, el engaño empieza cuando un usuario recibe un correo electrónico de su entidad. Si esta resulta ser La Caixa, es probable que se pare a leerlo y repare en el enlace proporcionado. El mensaje sigue el procedimiento habitual en estos casos, informando al usuario de que debe proceder a realizar alguna revisión en su cuenta.

lacaixa2

Como datos curiosos tenemos que el texto está correctamente redactado en español, incluyendo tildes, y que se proporciona un enlace que aparentemente utiliza un protocolo de comunicación seguro. La realidad es bien diferente, y es que si nos fijamos en a dónde se nos redirige mediante el enlace, veremos que la dirección nada tiene que ver con La Caixa, siendo una web perteneciente a una organización ubicada en Indonesia que ha sido comprometida para alojar código malicioso que redirige automáticamente a las víctimas a otro dominio.

Esta nueva web a la que la víctima es redirigida pertenece a una empresa japonesa que también ha visto su página comprometida. Esta se encuentra realizada con el popular CMS WordPress y los delincuentes han aprovechado alguna vulnerabilidad no parcheada por los propietarios de esta web para ubicar el phishing de La Caixa.

Web original vs. web fraudulenta

A continuación podemos ver una comparativa entre la web original de La Caixa y la web falsa preparada por los delincuentes:

lacaixa10

Como en la mayoría de este tipo de webs pertenecientes a entidades bancarias, para poder realizar cualquier operación se requiere que se introduzcan datos del usuario. Estos datos suelen ser el DNI u otro documento identificativo oficial y un código PIN. En el caso de que el usuario muerda el anzuelo e introduzca sus datos, las soluciones de seguridad de ESET cortarán la comunicación y avisarán del riesgo que supone acceder a esta web fraudulenta.

lacaixa5

En caso de no contar con una solución de seguridad capaz de reconocer estos casos de phishing, la víctima accede a una nueva página donde se le solicitará, con todo el descaro del mundo, que introduzca todos los códigos de su tarjeta de coordenadas. A estas alturas cuesta creer que alguien caiga en una trampa tan burda, pero todo es posible, y si los delincuentes han optado por este método para robar dinero de la cuenta de sus víctimas es que aún quedan suficientes ingenuos que caen en la trampa.

lacaixa6

Consejos y conclusiones

Que sigan usándose prácticamente las mismas técnicas de phishing desde hace varios años para conseguir nuevas víctimas dice mucho de la falta de concienciación existente aún en entre un buen número de usuarios. Las campañas de información sobre este tema realizadas tanto desde las entidades bancarias como desde empresas de seguridad y organismos oficiales han ayudado bastante, pero queda mucho camino por recorrer.

La mejor manera de actuar ante este tipo de casos es sospechar desde el principio y, en caso de duda, acudir a nuestra entidad o contactar con ellos telefónicamente. Además, nunca está de más recordar que nuestra entidad bancaria no va a utilizar prácticamente nunca este medio de comunicación para avisarnos de incidencias en nuestras cuentas.

Josep Albors

 

Historia del perfil falso en Facebook que puso en vilo a una nación