Cuando hablamos de casos de phishing, normalmente nos referimos a la suplantación de entidades bancarias. No obstante, este tipo de engaños también puede afectar a juegos online o, como el caso que comentamos hoy, directamente a dos de las más importantes empresas de tarjetas de crédito.
Este engaño llega en forma de correo electrónico y tiene como remitente una dirección (visa-master@sac.info) que nos hace pensar que el email ha sido enviado conjuntamente por estas dos compañías (cosa altamente improbable). Este hecho, junto a una redacción un tanto pobre, debería hacernos pensar si debemos pulsar sobre el enlace.
En el caso de que pulsemos, seremos redirigidos a un enlace donde se nos pedirá nuestros datos personales. Como curiosidad, se nos indica que ese sitio web utiliza cifrado SSL cuando no es así y se puede verificar en la misma barra de direcciones del navegador, ya que no aparece indicación alguna que nos lo asegure.
Seguidamente se nos solicitará los datos de la tarjeta de crédito, datos que incluyen el nombre del titular, el número, su código CVV, pin de seguridad, fecha de expiración y DNI. Con todos estos datos, los delincuentes podrán realizar pagos con todas las tarjetas robadas, tanto de forma online como en tiendas físicas, o incluso sacar dinero de los cajeros automáticos.
Una vez finalizada la introducción de datos se nos redirigirá a la web auténtica de Visa España. Nótese la diferencia con respecto a la web suplantada, ya que la auténtica incluye la letra ñ. Esto demuestra que los delincuentes que hay detrás de este engaño no se han molestado en localizar completamente el ataque.
Aun a pesar de los fallos cometidos por los creadores de esta estafa (mala localización lingüística, enlaces que no tienen relación con los verdaderos, etc.), son muchos los usuarios que ignoran estas advertencias e introducen los datos de sus tarjetas.
Desde el laboratorio de ESET en Ontinet.com volvemos a recordar, una vez más, que ni las entidades bancarias ni aquellas empresas responsables de nuestras tarjetas de crédito se pondrían en contacto por email para comunicarnos un problema, y mucho menos nos pedirían que introduzcamos nuestros datos en una web sin ningún tipo de cifrado.
Josep Albors