Der Steppenwolf

En estos días está circulando en la red un mensaje de phishing que involucra a una entidad bancaria colombiana. Pero antes de la descripción, qué es phishing?

“Phishing es un término informático que denomina el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, algún sistema de mensajería instantánea^[1] o incluso utilizando también llamadas telefónicas^[2].”

En el caso específico que quiero comentar está llegando el siguiente correo:

Si ud mira el remitente del mensaje figura la dirección “avvillas@avvillas.com.co” ante lo cual ud. no sospecharía. Pero si mira con cuidado los detalles de envío del correo electrónico se dará cuenta que en realidad el mensaje está asociado a una cuenta del servidor torm3nt.com:

Return-Path: <torment@torm3nt.com>
Received: from naf-server05.com (naf-server05.com [72.249.11.142])

El mensaje de correo electrónico tiene un enlace que supuestamente apunta a http://www.avvillas.com.co/Banking/pb/logon?a=00010524, pero si por curiosidad (o descuido) siguen el link llegarán en realidad a la siguiente dirección:

http://customcarcare.biz/avvillas.com.co/Banking/pb/

Como pueden notar el dominio no corresponde al de la entidad mencionada. En su lugar aparece un sitio http://customcarcare.biz/ Usualmente la gente no nota esta suplantación ya que en la pantalla ve lo siguiente:

Es evidente que la página fraudulenta tiene un diseño gráfico muy similar al de la entidad bancaria original. Generalmente la gente confía en el sitio “suplantador” sin fijarse siquiera en que la dirección de la página web no corresponde en realidad a la de su banco, ni tampoco que la comunicación se está realizando a través de un protocolo de comunicación seguro (Ver Https).

La página del phishing les solicita a ustedes primero su contraseña y usuario. En la siguiente pantalla les pide la clave de la tarjeta. Si por descuido ustedes digitan sus datos personales el atacante tendrá toda la información necesaria para acceder a su información bancaria.

Para finalizar el fraude, luego que el usuario ha ingresado sus datos personales en el sitio web “suplantador“, se le redirige a una página real de la entidad bancaria. Para este caso particular al usuario se le dirige al sitio: https://www.avvillas.com.co/Banking/pb/exterior/exitPage

Si se dan cuenta el engaño es muy sencillo, simplemente consiste en crear un sitio web con el mismo diseño gráfico de alguna entidad real. Lo curioso es que mucha gente cae en la trampa por falta de conocimiento o descuido en el manejo de sus comunicaciones electrónicas.

Recomendaciones:

• No confie en correos electrónicos supuestamente enviados por entidades bancarias.
• Si va a realizar transacciones bancarias por internet fíjese que se realicen a través de un protocolo seguro como https.
• Fíjese que la dirección de la página web que visita corresponda a la dirección real del sitio web oficial de su entidad bancaria.
• Reporte los intentos de fraude que encuentre. Por ejemplo gmail tiene una opción de “report phishing” o puede también ver las indicaciones publicadas aquí: http://www.us-cert.gov/nav/report_phishing.html