Phishing de Endesa intenta robarnos los datos de la tarjeta de crédito

El phishing sigue siendo una de las amenazas más utilizadas por los delincuentes, y, durante los últimos meses hemos visto varios ejemplos que demuestran que, a pesar de llevar entre nosotros mucho tiempo, sigue siendo muy efectivo entre los usuarios más desprevenidos. Una muestra de esto la tenemos en el correo que suplanta a la empresa Endesa que hemos detectado recientemente y que se está propagando al menos entre usuarios españoles.

Análisis del phishing

Tal y como ya hemos visto en anteriores ocasiones, todo empieza con la recepción de un correo que aparenta proceder de un remitente legítimo, en este caso de la empresa española Endesa. Usando su logo y con un supuesto reembolso como gancho para tratar de engañar al usuario que recibe este correo, los delincuentes detrás de esta campaña intentan convencernos de que pulsemos sobre el enlace que han preparado para la ocasión.

Si echamos la vista atrás, veremos que la identidad de Endesa ha sido suplantada en anteriores ocasiones, siendo una de ellas la que protagonizó una de las propagaciones de ransomware más importantes en España a finales de mayo de 2016. En esta ocasión la amenaza no es tan grave, pero sigue siendo una importante molestia si la víctima muerde el anzuelo y pulsa sobre el enlace proporcionado. En ese caso se nos redigirá a una web preparada la ocasión y donde se nos solicitan los datos de nuestra tarjeta de crédito, supuestamente para abonarnos el importe del reembolso.

Para un usuario que no se fije demasiado, todo será aparentemente normal puesto que la plantilla usada por los delincuentes para preparar esta web fraudulenta utiliza el logotipo de la empresa suplantada y sus colores corporativos. Además, incorpora una conexión segura con el sitio fraudulento, algo que puede hacerle pensar de que se encuentra en una web segura. En realidad, lo único que se está protegiendo es la comunicación entre su equipo y la web de los delincuentes, no los datos que se envían.

Intentando saltarse el 2FA

Una de las medidas implementadas durante los últimos años por parte de las entidades bancarias (y muchos otros servicios) ha sido la implementación del conocido como doble factor de autenticación. Esta medida ayuda a evitar el robo de cuentas y añade una capa adicional de seguridad, por ejemplo, a la hora de realizar operaciones financieras como transferencias bancarias.

Los delincuentes lo saben y por ello ya no es extraño que en casos de phishing como el que estamos analizando intenten engañar a la víctima para, una vez han obtenido los datos de su tarjeta de crédito, tratar de realizar una transferencia a su nombre. Para ello necesitan el código de verificación que normalmente se suele enviar por SMS al teléfono del usuario y por eso lo solicitan en el siguiente paso de este phishing.

Nótese las advertencias que incluyen los delincuentes indicando que cualquier cobro en la tarjeta por un valor superior a 0,1€ es debido a un error del banco, como queriendo quitarse responsabilidad y confundir así a la víctima.

En lo que respecta al dominio utilizado por los criminales para alojar su web de phishing, esta es detectada como maliciosa, aunque no se trata de una web creada para la ocasión. Este sitio web lleva activo 5 años e incluso cuenta con una buena reputación por parte del servicio Google Safe Browsing, por lo que muchos filtros antispam no lo habrán detectado inicialmente.

Conclusión

Estamos ante un phishing que lo tiene todo para intentar engañar a los usuarios más despistados puesto que suplanta a una empresa sobradamente conocida, utiliza un reembolso como gancho y además redirige a una web que no estaba catalogada como maliciosa y que cuenta con una conexión segura.

No obstante, si nos fijamos en ciertos detalles como puede ser el remitente del correo (sin relación con Endesa) y desconfiamos de introducir los datos de nuestra tarjeta de crédito en el primer formulario que nos aparezca evitaremos que los delincuentes nos roben nuestro valioso dinero.

Josep Albors

Las aplicaciones maliciosas siguen siendo un serio problema en Google Play