Phishing de Paypal usando dominios comprometidos

Si hay algo a lo que los usuarios de banca y servicios de pago online están acostumbrados es a lidiar con los múltiples casos de phishing que se producen a diario. Continuamente se generan webs falsas que intentan suplantar entidades bancarias o conocidas pasarelas de pago con la intención de robar los datos de acceso y tarjeta de crédito de aquellos usuarios que caen en su trampa. Lo normal es que se use un dominio similar a la entidad que se desea suplantar o bien uno que haya sido adquirido de forma fraudulenta usando dinero robado pero el caso que analizamos hoy es un poco peculiar. Vamos a ver porqué.

Como cada día, en nuestro laboratorio recibimos miles de correos spam y este de Paypal que mostramos a continuación nos ha llamado la atención. Como vemos es un mensaje típico remitido desde una dirección de correo bastante genérica y que nos invita a pulsar sobre un enlace. (Pulsar sobre las imágenes para ampliarlas).

Una vez pulsamos sobre ese enlace, se nos envía a una web que simula ser la de Paypal. La verdad es que a primera vista puede parecer muy convincente pero si nos fijamos en los detalles podemos llegar a descubrir que no es la web que dice ser. Ante todo, lo primero que nos debería llamar la atención es la utilización de un dominio que nada tiene que ver con Paypal y que no usa el protocolo seguro https. Eso debería activar todas las alarmas pero sabiendo que muchos usuarios no observan esos detalles también podemos observar como hay fallos de traducción en la web.

De cualquier forma, si comparamos la web falsa con la web legítima de Paypal vemos como la suplantación a nivel gráfico está bastante bien conseguida pero la web legítima si que utiliza un protocolo https y así nos lo hace saber nuestro navegador.

Si accediéramos con nuestro usuario y contraseña en la web falsa, se nos presentaría un aviso indicando que nuestra cuenta ha sido bloqueada y que para desbloquearla primero hemos de rellenar un formulario con nuestros datos.

Obviamente a los ciberdelincuentes les interesa saber datos sensibles como los de nuestra tarjeta de crédito y no tienen ningún reparo en solicitárnoslos en este formulario. Por sorprendente que parezca, muchos usuarios siguen cayendo en esta trampa y proporcionan estos datos.

Hasta aquí lo que parece un caso normal de phishing pero lo que hace destacar este sobre el resto es el uso de un dominio legítimo que corresponde a una asociación médica latinoamericana, con la que ya nos hemos puesto en contacto para informarles de esta incidencia.

De nuevo observamos como una web comprometida ha sido usada con fines maliciosos. En este mismo blog ya hemos tratado casos de otras webs legítimas sirviendo malware y tenemos motivos para pensar que seguirán produciéndose casos similares en los próximos meses. Desde el laboratorio de ESET en Ontinet.com recomendamos desconfiar de este tipo de correos que nos proporcionan enlaces y, en caso de querer acceder a nuestra entidad bancaria o servicio de pago online, escribir la dirección web de forma manual en nuestro navegador.

Josep Albors.

Troyano en Microsoft Update Catalog